Die Datenschutzerklärung für Webseiten in 2020

Dieser Praxisleitfaden unterstützt Sie bei der Erstellung der Datenschutzerklärung für Ihre Webseite nach den Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Anhand dieser Hinweise können Sie leicht prüfen, ob Sie in Ihrer Datenschutzerklärung alle erforderlichen Angaben aufgenommen haben.

Stand: September 2020

Einleitung

Wenn Sie möchten, können Sie Ihre Internet-Datenschutzerklärung mit ein paar Hinweisen einleiten. Aus juristischer Sicht ist dies nicht nötig und häufig finden sich unnötige Floskeln, die nur die Gesetzeslage wiedergeben. Jeder darf personenbezogene Daten lediglich soweit und solange verarbeiten, wie es nötig ist. Sparen können Sie sich auch allgemeine Definitionen, zum Beispiel was personenbezogene Daten sind. Sie müssen die Daten, die Sie verarbeiten, genau benennen. Dass diese zumindest potenziell personenbezogen sind, ergibt sich aus ihrer Erwähnung.

Wer braucht eine Datenschutzerklärung?

In der Regel benötigen alle Webseiten eine Datenschutzerklärung. Davon ausgenommen sind Webseiten, die keine personenbezogenen Daten ihrer Nutzer speichern und keine Cookies oder ähnliche Tracking-Techniken einsetzen. Normalerweise trifft dies allenfalls auf kleine private Seiten oder sogenannte Visitenkarten zu.

Bedenken Sie, dass schon die Speicherung der vollständigen IP-Adresse eine Verarbeitung personenbezogener Daten darstellt. In der Regel speichert der Server die IP-Adresse in einem Logfile. Manche Provider ermöglichen es, die IP-Adresse für die Protokollierung wegzulassen oder so zu kürzen, dass nur der Internetanbieter des Nutzers erkennbar ist. Der Teil der IP-Adresse ist dann nicht mehr personenbezogen, weil er keinen Rückschluss mehr auf eine Person zulässt.

Wenn Sie Web-Applikationen oder Angebote von Internetdiensten einbinden, achten Sie darauf, ob diese Daten Ihrer Besucher verarbeiten. Zum Beispiel setzen Dienste für Webanalysen wie „Google Analytics“ Cookies auf den Geräten der Nutzer. Gleiches geschieht beim Einbinden von JavaScript-Code, Stylesheets oder Fonts, die auf externen Cloud-Diensten liegen (Content Delivery Network, CDN). Auch beim Einbinden von Videos, Kommentar-Anwendungen, Like-Buttons oder ähnlichem können personenbezogene Daten verarbeitet werden, was in der Datenschutzerklärung beschrieben werden muss.

Nach der Rechtsprechung des Europäischen Gerichtshofs sind Webseiten-Betreiber für die Verarbeitung der Daten durch eingebettete Funktionen, wie etwas Social-Media-Plugins, im Sinne des Datenschutzrechts mit verantwortlich (EuGH, Urteil vom 29.7.2019, C-40/17 – Fashion ID).

Immer wenn Sie in Ihrem HTML bzw. CSS einen Code mit einem folgender Muster einsetzen, haben Sie potenziell ein Datenschutzproblem:

<link rel="stylesheet" href="https://<externe domain>" ... >
@import url('https://<externe domain>')
<iframe src="https://<externe domain>">...</iframe>
<script src="<externe domain>.js">
<script> ... 'https://<externe domain>' ... </script>

Das Problem ist vor allem, dass die <externe domain> häufig auf einen Dienst verweist, der Server in den USA betreibt (Google, YouTube, Facebook, Twitter, Disqus). Nach der jüngsten Rechtsprechung des EuGH ist das europäische Datenschutzniveau in den Vereinigten Staaten nicht gewährleistet (EuGH, Urteil vom 16.7.2020, C-311/18 – Facebook/Schrems). Die beste Datenschutzerklärung kann folglich die Einbindung dieser Dienste nicht rechtmäßig machen.

Wenn Sie eine passive Seite haben, auf der Nutzer keine Daten hinterlassen können, die keine Cookies verwendet, die IP-Adresse nicht aufgezeichnet wird und keine Drittanbieter-Dienste einbindet, können Sie auf eine Datenschutzerklärung verzichten (Sie könnten darin auch nur erklären, dass keine Daten verarbeitet werden).

Allerdings gehört eine Datenschutzerklärung heute zum Standard, so dass Nutzer ihre Seite als unseriös einstufen können, wenn sie keine vorfinden. Zudem kann die Angabe einer E-Mail-Adresse auf Ihrer Webseite eine Datenschutzerklärung notwendig machen, insbesondere wenn Sie einen eigenen E-Mail-Server verwalten.

Wo muss die Datenschutzerklärung stehen?

Die Datenschutzerklärung sollte von jeder Seite aus abrufbar sein, z.B. per Link auf die Datenschutzseite im Kopf- oder Fußteil der Webseite. Bei Nutzerformularen sollte ebenfalls ein Link auf die Datenschutzseite stehen.

In welcher Sprache muss die Datenschutzerklärung gefasst sein?

Die Erklärung muss in den Sprachen vorliegen, die Sie auf ihrer Seite nutzen. Wenn Sie zum Beispiel Ihre Seite auch in Englisch anbieten, brauchen Sie auch eine englische Datenschutzerklärung.

Grundsätzlich sollte die Datenschutzerklärung in einfach zu verstehender Sprache abgefasst sein. Vermeiden Sie unverständliche juristische Klauseln. Verstecken Sie sich nicht hinter Kleingedrucktem.

Was muss in einer Datenschutzerklärung enthalten sein?

Die Datenschutzerklärung muss spezifisch auf Ihre Webseite ausgerichtet sein. Sie muss die Datenverarbeitung aufführen, die Sie konkret vornehmen. Daher sollte nicht auf Standard-Muster zurückgegriffen werden, die oft viel mehr enthalten, als tatsächlich verarbeitet wird, und manche Technologien nicht erwähnen, die mittlerweile häufig eingesetzt werden.

Folgende Punkte muss die Datenschutzerklärung aufgreifen:

1. Wer ist für die Datenverarbeitung verantwortlich? Wie ist diese Person zu erreichen?

Verantwortlich ist in der Regel der Webseitenbetreiber. Nach Art. 13 Abs. 1 a) DSGVO müssen die Namen und Kontaktdaten angegeben werden. Diese entsprechen den Angaben im Impressum. Für Handelsgewerbe sind dies die üblichen Kontaktwege, wie Anschrift, Telefonnummer und eine zentrale E-Mail-Adresse. Es empfiehlt sich zur Klarheit und Vollständigkeit, die Kontaktdaten in der Datenschutzerklärung zu wiederholen. Ein Link zum Impressum wird aber teilweise als ausreichend angesehen.

Soweit bei privaten Seiten oder nicht-kommerziellen Seiten keine umfassende Impressumspflicht besteht, muss eine vollständige Adresse folgerichtig auch in der Datenschutzerklärung nicht angegeben werden. Dann genügt eine E-Mail-Adresse. Entscheidend ist, dass der Verantwortliche effektiv erreicht werden kann. Hinweis: in der juristischen Literatur wird überwiegend eine „ladungsfähige Anschrift“ gefordert. Art. 13 DSGVO gibt jedoch für diese Auffassung keinen Anlass.

2. Falls es einen Datenschutzbeauftragten gibt: wie ist dieser zu erreichen?

Nicht jeder muss einen Datenschutzbeauftragten bestellen. Die Pflicht für einen Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO und § 38 BDSG. Freiberufler und kleine Unternehmen, die Kundendaten nur zur Erfüllung von Verträgen verwalten, benötigen häufig keinen Datenschutzbeauftragten. Wenn kein Datenschutzbeauftragter bestellt ist, lassen Sie diesen Punkt weg. Nennen Sie vor allem den Verantwortlichen nicht noch einmal, weil dieser nicht gleichzeitig Datenschutzbeauftragter sein darf.

Wenn ein externer Datenschutzbeauftragter bestellt wurde, nennen Sie dessen Kontakte. Bei einem internen dessen Namen, die Firmenadresse und die spezifische Kontakt-E-Mail. Es bietet sich an, eine datenschutz@-Adresse einzurichten, die an den externen oder internen Datenschutzbeauftragten weitergeleitet wird.

3. Welche Rechte haben die Nutzer?

Die Rechte der Nutzer ergeben sich aus der DSGVO und dem BDSG. Sie müssen aber in jeder Datenschutzerklärung wiederholt werden. Es bietet sich jeweils ein kurzer Satz an, der die Vorschrift der DSGVO wiedergibt.

  • Recht auf Auskunft
  • Recht auf Übertragung
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung
  • Recht auf Widerspruch
  • Widerrufsrecht bei Einwilligungen
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde

4. Welche Daten werden in welcher Weise verarbeitet und auf welcher Rechtsgrundlage?

  • Welche Daten werden erhoben und gespeichert?
  • Wie lange werden die Daten gespeichert?
  • Für welchen Zweck, wie werden die Daten genutzt?
  • Gegebenenfalls: an wen werden die Daten weitergeleitet?
  • Was ist die Rechtsgrundlage?

Je nachdem, welche Daten verarbeitet werden, müssen zu diesen Punkten jeweils Angaben gemacht werden, zum Beispiel:

  • Kontaktaufnahme per E-Mail oder Kontaktformular
  • Protokolldaten bei Besuch auf der Webseite
  • Speicherung von Cookies
  • Registrierung von Nutzern
  • Newsletter-Abonnement
  • Social Media-Plugins
  • Einbettung von Videos
  • Einbettung von Schriftarten
  • Kommentarfunktion
  • E-Commerce / Shop-Funktion / Bezahl-Dienstleister
  • Online-Werbung

Es bietet sich an, die obigen Fragen für jeden der zutreffenden Datenverarbeitungen in einem gesonderten Punkt zu beantworten. Wenn Sie Inhalte von Drittanbietern einbetten, übernehmen Sie deren Formulierungen zum Datenschutz für diese Inhalte und verweisen Sie zusätzlich auf deren Datenschutzseite.

Hinweis: Weitere wichtige Informationen finden sich bei Markt&Recht zum Umgang mit Cookies und zur Einbettung von Plugins.

Rechtlicher Hinweis

Die Darstellungen auf dieser Seite sollen rechtlichen Laien eine erste Orientierung bieten, können aber eine Rechtsberatung im Einzelfall nicht ersetzen. Für verschiedene Lebensbereiche gelten unterschiedliche Regelungen und es kann nicht ausgeschlossen werden, dass eine Norm sich nach Veröffentlichung verändert oder hier übersehen bzw. falsch interpretiert wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.