Datenschutzerklärung erstellen: alle Punkte der DSGVO beachten

Die Datenschutzerklärung – längst zwingender Bestandteil jeder Website, also was gibt es noch dazu zu wissen? Viel, denn der Start der der DSGVO Ende Mai 2018 bedeutete so einiges an Veränderung für die Datenschutzerklärung. Wissen Sie was in der Datenschutzerklärung enthalten und wo die Datenschutzerklärung zur Verfügung gestellt werden muss? Und wie?

Da die Datenschutzerklärung Ihre datenschutzrechtliche Visitenkarte als vertrauenswürdiger Unternehmer ist, informieren wir Sie darüber, was die Datenschutzerklärung insbesondere seit Inkrafttreten der DSGVO beinhalten muss.

Datenschutzerklärung - Was bleibt, was ist neu?

Die gute Nachricht: Die bisherigen Vorgaben zur Datenschutzerklärung haben sich auch nach Inkrafttreten der DSGVO nicht groß geändert. Nach wie vor ist wichtig, dass in der Datenschutzerklärung deutlich gemacht wird, dass der Websitebetreiber sorgfältig und verantwortungsvoll mit personenbezogenen Daten umgeht, denn das ist der Sinn hinter dem Datenschutz. Das heißt jeder, der Onlineinhalte anbietet, muss detailliert darüber informieren, wie er Nutzerdaten behandelt, die beim Aufrufen seiner Seite verarbeitet werden.

Personenbezogene Daten, die online verarbeitet werden können, sind zum Beispiel:

  • Name/Adresse/E-Mail-Adresse/Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • Standortdaten
  • IP-Adresse
  • Cookies mit Personenbezug

Im Wesentlichen informiert die Datenschutzerklärung also über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten. Auch über die Verarbeitung der Daten in Drittländern müssen gegebenenfalls Aussagen gemacht werden. Widerspruchs- und Widerrufsmöglichkeiten bezüglich der Nutzung der Daten müssen ebenfalls gegeben sein und beschrieben werden.

Besondere Aufmerksamkeit sollten Themen wie Analysetools, soziale Medien oder dem Umgang mit Formulardaten geschenkt werden. Bei der Erstellung folgender Hinweise sollte ganz besonders auf unmissverständliche und rechtssichere Begriffe und Formulierungen geachtet werden:

  • Hinweise zum Umgang mit Social Plugins (z. B. Facebook "Like"-Buttons)
  • Hinweise zum Umgang mit Webformularen (z. B. Kontaktformulare)
  • Hinweise zur Nutzung von Cookies (Informationen zum Zweck und zum Empfänger der Daten)
  • Hinweise zum Einsatz von Analyse-Tools (wie Google Analytics)
  • Hinweise zu Targeting- bzw. Audience Optimisation Tools (z. B. AddThis)

Anforderungen an die Datenschutzerklärung

Von der Idee bis zum Launch einer neuen Website oder des neuen Onlineshops ist es ein weiter Weg. Gerade wenn es an die scheinbar unscheinbare Datenschutzerklärung geht, kann der schon mal steinig werden. Denn jede Website, die im geschäftlichen Umfeld genutzt wird, muss zwingend eine Datenschutzerklärung vorweisen. Diese Datenschutzerklärung muss von jeder einzelnen Seite des Auftritts mit nur einem Klick erreichbar sein. Und der Link, über den sie erreichbar ist, muss eindeutig erkennbar sein. Es reicht also nicht aus, die Datenschutzerklärung ins Impressum zu integrieren, auch wenn diese nahezu identischen Anforderungen an das Impressum mittlerweile auf den meisten Websites umgesetzt sind.

Wofür eigentlich eine Datenschutzerklärung bereithalten?

Anerkanntes Mittel, User beim Besuch einer Website vollumfänglich über die Art und den Umfang der Daten-Verarbeitung, die verarbeiteten Daten und die Möglichkeiten seine Rechte auszuüben und sich über die Speicherung seiner Daten zu informieren, ist die Datenschutzerklärung. Das Erfordernis einer Datenschutzerklärung leitet sich ab aus den Betroffenen-Rechten:

Jeder Betroffene muss die Möglichkeit haben,

  • zu erfahren, wer seine (personenbezogenen) Daten verarbeitet;
  • zu erfahren, zu welchen Zwecken seine Daten verarbeitet werden;
  • sein Widerspruchsrecht auszuüben;
  • und letztlich auch zu entscheiden, ob er überhaupt „weiter machen will", also ob er die Seite vielleicht doch besser verlassen sollte, weil er der Verarbeitung nicht zustimmt.

Was muss alles in der Datenschutzerklärung enthalten sein?

Die neuen Vorgaben schreiben nicht nur vor, worüber in der Datenschutzerklärung informiert werden muss, sondern auch in welcher Weise dies zu geschehen hat. So sollen die Informationen:

  • präzise, transparent, in leicht zugänglicher Form und einer klaren und einfachen Sprache zur Verfügung gestellt werden. Dabei sollen juristische Fachbegriffe vermieden oder zumindest erklärt werden.

Was Sie in der Datenschutzerklärung auf der Website in klarer Form und einfacher Sprache angeben müssen:

Für alle WebsitesInformationspflichten in der Datenschutzerklärung
1.Name des Verantwortlichen (Betreiber der Website) ggf. seines Vertreters (also bei Gesellschaften Geschäftsführer oder Vorstand)
2.Kontaktdaten des Verantwortlichen
3.Datenschutzbeauftragter soweit erforderlich
4.Kontaktdaten des Datenschutzbeauftragten
5.Zweck der Datenverarbeitung
6.Rechtsgrundlage jeder Datenverarbeitung (jeweils speziell zugeordnet)
7.bei Verarbeitung wegen berechtigter Interessen (z.B. Gefahrenabwehr) dieses Interesse
8.Empfänger der Daten (nicht bei Auftragsverarbeitung – denn das ist Verarbeitung des Betreibers selbst)
9.Übermittlung in ein Drittland und Bestehen eines Angemessenheitsbeschlusses oder der sonstigen Grundlage für den Export der Daten
10.Beschreibung der Dauer der Speicherung der Daten
11.Hinweis auf Auskunftsrecht
12.Hinweis auf das Recht auf Berichtigung
13.Hinweis auf das Recht auf Löschung oder Einschränkung
14.Hinweis auf das Recht auf Widerspruch
15.Hinweis auf das Recht auf Datenübertragung
16.Hinweis auf das Recht, die Einwilligung zu widerrufen
17.Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
18.Aufklärung, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und ggf. Konsequenzen der Nichtbereitstellung der Daten
19.Ob eine automatisierte Entscheidungsfindung oder Profiling erfolgt und wenn ja, die involvierte Logik

Wie können Sie die Datenschutzerklärung erstellen?

Hier gibt es letztendlich mehrere Möglichkeiten: Sie legen selbst Hand an, Sie nutzen einen Generator oder aber Sie lassen sich - was wir empfehlen - die Datenschutzerklärung direkt von einem Rechtsexperten oder Ihrem Datenschutzbeauftragten erstellen.

Datenschutzerklärung selbst erstellen

Eine Datenschutzerklärung zu erstellen ist ohne Frage mühsam. Denn die oben genannten Informationen müssen so aufbereitet werden, dass sie für Nutzer Ihrer Website in verständlicher Weise abrufbar sind. Das Gesetz fordert nämlich ausdrücklich eine allgemeine Verständlichkeit für Nutzer. Informieren Sie daher in einer Form, die auch für juristische Laien nachvollziehbar ist. Eine Gliederung könnte wie folgt aussehen:

  • Allgemeine Hinweise zur Datenschutzerklärung
  • Automatische Speicherung von Daten durch unsere Website
  • Speicherung von Daten durch Ihre Angaben bei einer Registrierung
  • Allgemeiner Hinweis zu Cookies
  • Eingesetzte Analysesoftware
  • Hinweis zum Retargeting
  • Hinweise zu Social Plugins, Framing & Co.
  • Rechte der User

Sofern Sie Analysesoftware wie z.B. Google Analytics einsetzen, finden Sie in den meisten Fällen Textbausteine bei den jeweiligen Anbietern.

Datenschutz-Generator für die Datenschutzerklärung nutzen

Mit einem Datenschutz-Generator lässt sich in wenigen Minuten eine Datenschutzerklärung erstellen. Nach dem Start des Generators können Sie Schritt für Schritt bestimmen, zu welchen Punkten Sie einen Datenschutzpassus einfügen möchten. In den meisten Fällen wird hier zwischen einer Free- oder Premium-Version unterschieden. Die Free-Version deckt die wichtigsten Faktoren ab, aber eben nicht alle nötigen Punkte. Die Datenschutzerklärung bekommen Sie dann per E-Mail zugeschickt oder als Download bereitgestellt. Manche Generatoren bieten die Datenschutzerklärung auch als Quelltext an, den Sie direkt in Ihre Webseite einfügen können.

Rechtsexperten die Arbeit machen lassen

Sie können die Datenschutzerklärung selbst erstellen und hierfür die im Internet vorhandenen Muster oder Generatoren nutzen. Dies mag selbst für rechtliche Laien durchaus möglich sein. Aber Sie müssen hierbei sicher sein, dass die verwendete Vorlage der aktuellen Rechtslage entspricht und auch tatsächlich für Ihr Angebot passend ist. Denn gerade im Bereich des Handels ist alles durch genaue Vorschriften geregelt, so dass jede verwendete veraltete Klausel zugleich ein erhebliches Abmahnrisiko in sich birgt. Darüber hinaus müssen Sie auch selbst sicherstellen, dass Sie nicht nur eine aktuell gültige Datenschutzerklärung erstellt haben, sondern dass diese auch an der richtigen Stelle auf Ihrer Website eingebunden ist.

Mit der Unterstützung eines Rechtsexperten bzw. Ihrem Datenschutzbeauftragten wird die Datenschutzerklärung individuell an die Bedürfnisse Ihres Unternehmens mit spezieller datenschutzrechtlicher Expertise entwickelt. 

Welche Variante ist die Beste?

Letztlich kann eine Datenschutzerklärung vollständig und sinnvoll nur durch einen Rechtsexperten erstellt werden. Zwar gibt es zahlreiche Generatoren, die Textbausteine für viele Standardfälle produzieren. Ob damit aber eine vollständige und korrekte Datenschutzerklärung entsteht, darf bezweifelt werden. Zum einen hängt die Korrektheit stark davon ab, dass derjenige, der den Generator bedient auch vollumfänglich weiß, was auf der Website alles passiert und dann noch die korrekten Optionen auswählt. Zum anderen gibt es einfach für die meisten Plugins oder für spezielle Serverkonfigurationen keine vorgefertigten Textbausteine in den Generatoren.

TIPP

Eine Datenschutzerklärung können Sie sich auch von einem spezialisierten Anwalt erstellen lassen. Erhalten Sie schnell und einfach ein unverbindliches Angebot von unserem Partner.

Was passiert bei einer fehlenden oder fehlerhaften Datenschutzerklärung?

Nicht nur Unternehmer oder Online-Shops, sondern jeder Webseitenbetreiber muss nun mit Abmahnungen rechnen, wenn er keine oder eine unvollständige Datenschutzerklärung auf seiner Webseite eingebunden hat. Denn Anbieter, die Nutzer nicht vollständig oder ausreichend über die Erhebung ihrer Daten unterrichten, begehen eine Ordnungswidrigkeit. Diese Datenschutzfehler und -verstöße können eine Abmahnung nach sich ziehen. Für die Betreiber der Seiten kann dies teuer werden: Bis zu50.000 Euro Strafe sind gemäß § 16 TMG möglich:

Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.“

Wichtig ist deshalb: Jeder Seitenbetreiber benötigt ab sofort eine korrekte und aktuelle Datenschutzerklärung.

TIPP

Prüfen Sie Ihre Datenverarbeitungsprozesse und erstellen Sie eine Liste mit den entsprechenden Informationen zur Datenverarbeitung, die Sie nach der DSGVO Ihren Kunden erteilen müssen.

Gestaltungstipps für Datenschutzerklärungen

Mit der neuen DSGVO besteht also zukünftig die Herausforderung, dass die Informationen möglichst vollständig bereitgestellt werden sollen, gleichzeitig soll dies aber auch übersichtlich, klar und verständlich geschehen. Das gestaltet sich gar nicht so einfach, doch mit folgende Möglichkeiten kommt etwas Klarheit in Ihre Datenschutzerklärung.

Inhaltsverzeichnis vorab

In der Praxis der neuen Anforderungen durch die DSGVO ist eine Datenschutzerklärung in den meisten Fällen sehr lang. Damit sich der User schnell orientieren und das Thema seiner Wahl finden kann, bietet es sich an, der Datenschutzerklärung ein Inhaltsverzeichnis voranzustellen. Dieses sollte klickbar sein, sodass der User per Klick auf den für ihn relevanten Punkt direkt zum jeweiligen Abschnitt in der Datenschutzerklärung gelangt.

Aufzählungen und Tabellen

Welche personenbezogenen Daten werden zu welchem Zweck aufgrund welcher Rechtsgrundlage verarbeitet und wie lange werden diese gespeichert? Diese Informationen lassen sich übersichtlich aufzählen oder in einer Tabelle darstellen. Lange, unverständliche Ausführungen sind hier fehl am Platz.

Auswahlfelder und Checkboxen

Findet eine Übermittlung personenbezogener Daten in Drittländer statt und wenn ja, welche Garantien wurden zur Sicherstellung eines angemessenen Datenschutzniveaus getroffen? Ja/Nein-Fragen und Auswahlmöglichkeiten lassen sich durch Auswahlfelder und Checkboxen darstellen. Dadurch gewinnen Sie Platz und Übersichtlichkeit.

Links zu ausführlichen Informationen

Wenn Sie die knappen Formulierungen als nicht ausreichend erachten, um eine vollständige Information der Nutzer sicherzustellen, setzen Sie Links zu Unterseiten mit ausführlichen Texten. Nutzer, die sich detailliert informieren möchten, erhalten auf diese Weise die Möglichkeit dazu. Und die eigentliche Datenschutzerklärung bleibt schlank und knapp.

Schlagworte und Überschriften

Wozu wird die IP-Adresse genutzt? Netzwerkadressierung, Netzwerkkommunikation, Störungs- und Fehlererkennung – finden Sie passende Schlagworte und Oberbegriffe. Dadurch können Sie die Informationen auf das Wesentliche herunterbrechen. Wählen Sie für einzelne Abschnitte zudem aussagekräftige Überschriften.

Bilder und Symbole

In der DSGVO ist die Rede, dass künftig auch Bildsymbole genutzt werden können, um Informationen anschaulich darzustellen. Die Bilder und Symbole müssen natürlich verständlich sein. Es bietet sich daher eine Kombination aus Bild und kurzem Erklärungstext an.

TIPP

Wenn Sie einen Datenschutzkonfigurator verwenden möchten, schauen Sie bitte genau, wie aktuell die Seite ist und werfen Sie einen Blick in das Impressum, um zu erfahren, wer hinter dem Angebot steckt.

Wo muss die Datenschutzerklärung eingebunden werden?

Ob privat oder öffentlich, eine Datenschutzerklärung ist auf jeder Website unerlässlich. Dabei ist wichtig, dass die Hinweise zur Datenschutzerklärung jederzeit vom Nutzer einsehbar sein müssen.

Information auf der Website

Der Websitebetreiber muss geeignete Maßnahmen treffen, um der betroffenen Person - also hier dem User - die Informationen zur Verarbeitung seiner Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Dies muss bereits zum Zeitpunkt der Erhebung dieser Daten geschehen.

Die Informationen müssen leicht auffindbar sein und dürfen nicht im Angebot versteckt werden. Das bedeutet, dass der Link zu Ihrer Datenschutzerklärung von jeder einzelnen Seite Ihrer Website aus klickbar sein muss. Zudem muss der Nutzer augenblicklich feststellen können, wo sich die entsprechenden Bestimmungen befinden. Der Link muss also eindeutig beschriftet werden (etwa mit „Datenschutz" oder „Datenschutzerklärung").

Es ist beispielsweise nicht zulässig, die Erklärung im Impressum unterzubringen, wenn dieses lediglich über den Link „Impressum" zu erreichen ist. Zudem müssen die Informationen aussagekräftig benannt werden. In Onlineshops muss deshalb die Datenschutzerklärung immer dann zur Verfügung gestellt werden, wenn personenbezogene Daten erhoben werden.

Außerdem wichtig: Egal ob Kontaktformular, Online-Anmeldung oder Verteilerlisten – schauen Sie alle Formulare auf Ihrer Website aufmerksam durch. Denn eine wichtige Anforderung ist es, dass der User vor dem Absenden informiert werden muss, was mit seinen persönlichen Angaben geschieht. Zum Beispiel, dass die Daten elektronisch verarbeitet und gespeichert werden. Bedeutet, dass Sie vor dem Absenden eines Formulars auf Ihre Datenschutzerklärung verlinken sollten.

Wie kann die Datenschutzerklärung bei anderen Medien zur Verfügung gestellt werden?

Im Onlineshop ist es leicht, eine Datenschutzerklärung zur Verfügung zu stellen. Bei anderen Medien, mit denen Daten erhoben werden, weniger: Telefonate, Flyer, Postkarten. Es erscheint nicht sehr sinnvoll, geschweige denn komfortabel für alle Beteiligten, die Datenschutzerklärung auf einem Flyer vollständig abzubilden, noch die Datenschutzerklärung in einem Telefonat vollständig vorzulesen. Wie aber kann sauber über die Datenverarbeitungen informiert werden, wenn nicht ausreichend Platz oder Zeit zur Verfügung steht?

Eine pragmatische Lösung ist der sogenannte Medienbruch. Heißt: Die Daten werden über ein Medium erhoben, zum Beispiel über den Flyer zur Gewinnspielteilnahme, die Information über die Datenerhebung erfolgt jedoch an anderer Stelle, zum Beispiel in der Datenschutzerklärung im Shop. 

Ob das geht, ist nicht abschließend geklärt. Hier wird von Datenschützern die Meinung vertreten, dass die Information dann nicht zum Zeitpunkt der Datenerhebung stattfindet. Andere Datenschützer vertreten die Sichtweisen, dass die leichte Auffindbarkeit der Informationen nicht bedeutet, dass die Datenschutzerklärung an Ort und Stelle zur Verfügung gestellt werden muss. Es empfiehlt sich daher, konkret auf die Datenschutzerklärung im Shop hinzuweisen. Ob das auch beim bloßen Austausch von Visitenkarten gelten muss, wird ebenfalls noch zu klären sein.

Wenn keine Daten erhoben werden, brauchen Sie keine Datenschutzerklärung

In Bestellbestätigungsemails, Versandbestätigungen und ähnlichen Nachrichten werden in der Regel keine Daten erhoben. Hier muss deshalb auch keine Datenschutzerklärung vorgehalten werden. Anders sieht das bei Newslettern aus, da hier unter Umständen Daten erhoben werden, es kommt auf die konkrete Gestaltung an. 

Auch in Zukunft heißt es: am Ball bleiben

Grundsätzlich kommen Sie online nicht ohne Datenschutzerklärung aus. Diese ist ebenso anzugeben, wie das Impressum. Fehlt eine Datenschutzerklärung oder ist diese fehlerhaft, drohen Abmahnungen und Bußgelder. Zur Erstellung der Datenschutzerklärung sollten Sie mindestens Vorlagen oder einen der zahlreichen Generatoren aus dem Netz nutzen. Allerdings gilt hier, Vorsicht walten zu lassen: eine Haftung für ein korrekte Datenschutzerklärung ist durch die Anbieter nicht gegeben. Auf der sicheren Seite sind Sie bei der Erstellung der Datenschutzerklärung in Zusammenarbeit mit einem Anwalt oder Ihrem Datenschutzbeauftragten.

Stellen Sie sicher, dass Sie auf Ihrer Website die Datenschutzerklärung in klar verständlicher Sprache im Footer mit einer eindeutigen Bezeichnung verlinkt haben. Eine Checkbox zur Bestätigung dieser Datenschutzerklärung im Bestellprozess ist nicht notwendig. Möchten Sie jedoch ganz sicher gehen, dass der Absender die Möglichkeit wahrgenommen hat, sich über die Verwendung der eingegebenen Daten zu informieren, verwenden Sie ein Kontaktformular mit Checkbox. Neben der Checkbox erklären Sie kurz wofür die Daten genutzt werden und es gibt einen Link zu der Datenschutzerklärung und dem Hinweis auf Widerruf. Der Versand des Kontaktformulars ist nur dann möglich, wenn der Absender den Haken in die Checkbox setzt und damit sein Einverständnis gibt.

Bei anderen Medien dürfte ein Verweis auf die Datenschutzerklärung im Onlineshop ausreichen, abschließend geklärt ist das jedoch nicht.

Neben diesen initialen Maßnahmen empfiehlt sich zudem eine regelmäßige Überprüfung der Website. Denn Websites sind lebendige Systeme: Durch Updates oder neu integrierte Module können sich die Rahmenbedingungen laufend ändern. Es genügt bereits die Implementierung einzelner Dienste wie Tracking-Tools oder eines Kontaktformulars für besondere Aktionen, und die Datenschutzerklärung der Website benötigt eine Ergänzung. Sonst ist diese fehlerhaft und erneut drohen Abmahnungen.

Hier gilt auch, im weiteren Betrieb auf dem Laufenden zu bleiben. Durch eine kontinuierliche und sensible Zusammenarbeit zwischen Betreibern, technischen Betreuern des Webauftritts und Juristen kann man Risiken auch dauerhaft erfolgreich vorbeugen. In gar nicht so ferner Zukunft kommt die E-Privacy-Richtlinie der EU, welche wieder Änderungen nach sich zieht. Gerade Verordnungen und Richtlinien wie diese zeigen deutlich den Bedarf an kontinuierlicher Überwachung des eigenen Webauftrittes.

Datenschutzerklärung nur ein Aspekt der Datensicherheit im Unternehmen

Die Datenschutzerklärung ist natürlich für Externe schnell einsehbar - entsprechende Mängel damit auch. Um an dieser Stelle Abmahnungen und Bußgeldern vorzubeugen, lohnt es sich, große Sorgfalt walten zu lassen. Doch ist die Datenschutzerklärung nicht das einzige Einfallstor für Strafen. Der Datenschutz im Unternehmen bietet viele weitere Stolpersteine, weshalb wir Ihnen 10 Tipps zur Datensicherheit zusammengestellt haben.

Wer sicher gehen möchte, lässt sich die Datenschutzerklärung von einem Anwalt erstellen. Erhalten Sie ein unverbindliches Angebot.

Vorheriger Artikel:
Datenschutzbeauftragter
Nächster Artikel:
DSGVO

Aktuelles aus unserem GründerDaily