Datenschutzerklärung – Anforderungen an eine DSGVO-konforme Umsetzung

Allgemein

Die Datenschutzerklärung ist seit längerem zwingender Bestandteil jeder Webseite. Doch die DSGVO hat die Vorgaben und Anforderungen an eine umfassende und rechtlich sichere DSE nochmals gehörig durcheinander gewürfelt. Viele Unternehmer wissen jedoch noch immer nicht genau was eine Datenschutzerklärung enthalten muss und wo sie Betroffenen zur Verfügung gestellt werden sollte. Warum die Datenschutzerklärung so wichtig ist, um was es sich dabei genau handelt und welche Punkte dort aufgeführt werden müssen, soll dieser Artikel klären.

Warum eine Datenschutzerklärung notwendig ist

Wird auf einer Webseite nach unten gescrollt, findet sich neben dem Impressum und den AGBs auch häufig die notwendige Datenschutzerklärung. Von vielen wird sie erst gar nicht zur Kenntnis genommen, geschweige denn durchgelesen. Dabei ist sie essentiell für jeden Webseitenbetreiber.

Eine Erklärung über die genauen Verarbeitungsprozesse von Daten dient vor allem dazu, zu zeigen, dass der Betreiber der Webseite verantwortungsbewusst mit fremden Daten umgeht und darüber auch transparent informiert. Aber sie dient auch dazu, Nutzern zu ermöglichen, ihre Rechte diesbezüglich auszuüben. Online verarbeitete Daten können beispielsweise sein

Name
E-Mailadresse
Telefonnummer
Standortdaten
IP-Adresse
Cookies

Mit einer Datenschutzerklärung kommt man dem Auftrag nach über Zweck, Art und Umfang der Nutzung dieser Daten zu informieren. Die Nutzer der Seite müssen dabei auch erfahren können, wer seine Daten verarbeitet, ob er diesem Prozess widersprechen kann.

Was dabei jedoch häufig vergessen wird: auch die Nutzung von Daten verarbeitenden Plug-Ins, Social Media Add-ons oder externen Analysetools, wie beispielsweise GoogleAnalytics, müssen in der Erklärung zur Datenverarbeitung enthalten sein. Eine einfache und klare Formulierung trägt hier dazu bei, die Verständlichkeit und Rechtssicherheit zu erhöhen.

Was ist eine Datenschutzerklärung und für wen gilt sie?

Eine Datenschutzerklärung (englisch: privacy policy) beschreibt, wie und welche personenbezogenen Daten durch eine Webseite verarbeitet werden. Wenn Webseitenbesucher ein entsprechendes Angebot nutzen, haben sie grundsätzlich das Recht zu erfahren, ob, inwieweit und zu welchen Zwecken ihre personenbezogenen Daten erhoben und gespeichert werden.

Zitat aus dem Telemediengesetz

In § 13 des Telemediengesetzes (TMG) heißt es: „Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erledigt ist.“

Da als personenbezogene Daten nicht nur Informationen wie Name und Telefonnummer, sondern auch deren IP-Adresse oder das Wissen darüber, welche Seiten im Internet besucht worden gelten, erhebt grundsätzlich jede Webseite personenbezogene Daten von ihren Besuchern. Das bedeutet, dass jeder Diensteanbieter eine Datenschutzerklärung bereitstellen muss – und zwar unabhängig davon, ob es sich um Unternehmen, Behörden, Vereine oder sonstige Akteure handelt. Eine solche Pflicht besteht neben dem TMG nunmehr auch seit Inkrafttreten der DSGVO. Sie ergibt sich aus Artikel 13 DSGVO.

Anforderungen an eine DSGVO-konforme Umsetzung

Nicht erst seit Inkrafttreten der DSGVO, sondern auch bereits durch das BDSG, wurden bestimmte Parameter festgelegt, die eine Datenschutzerklärung erfüllen muss. Im Webkontext muss die Info-Seite von jeder Unterseite mit nur einem Klick erreichbar sein. Sie einfach ins Impressum zu integrieren liegt zwar nahe, da dieses ähnliche Anforderungen hat. Dies wird häufig auch noch von vielen Betreibern noch so gehandhabt. Doch diese Umsetzung reicht nicht mehr aus. Eine Datenschutzerklärung braucht eine eigene Seite.

Auch formell gibt es verschiedene Anforderungen, die den Nutzern das Lesen erleichtern sollen: Die Informationen müssen präzise, transparent, leicht zugänglich und in einer klaren, einfachen Sprache vermittelt werden. Schwer verständliche, juristische Begriffe sollten dabei vermieden oder zumindest erklärt werden.

Keine Datenschutzerklärung - Was kann passieren?

Seit Inkrafttreten der DSGVO wird es ernst für Betreiber. Eine fehlende oder fehlerhafte Datenschutzerklärung kann ein Verstoß gegen Marktverhaltensnormen darstellen und von Mitbewerbern abgemahnt werden. Allerdings können nicht nur Konkurrenzunternehmen, sondern auch Verbraucherverbände Abmahnungen versenden. Außerdem müssen Unternehmen mit Bußgeldern rechnen, wenn sie ihre Kunden nicht oder nicht ausreichend über die Verarbeitung personenbezogener Daten informieren. Wer das vermeiden will, sollte also vorbereitet sein.

Ziel der Datenschutzerklärung: Information und Transparenz

Welche Inhalte sollte eine Datenschutzerklärung beinhalten?

An dieser Stelle sollen kurz die einzelnen Bestandteile einer Datenschutzerklärung aufgeführt werden.

I. Allgemeines

Zu Beginn der Datenschutzerklärung werden allgemeine Angaben aufgeführt. Neben Name und Anschrift des Verantwortlichen, sollten auch der Datenschutzbeauftragte genannt werden.

II. Welche Daten fallen auf der Webseite an?

Sämtliche personenbezogenen Daten, die bei der Nutzung der Webseite und der Inanspruchnahme der darin enthaltenen Dienste und Funktionen anfallen, müssen in der Datenschutzerklärung detailliert beschrieben werden. Da viele Webseiten das Analysetool Google Analytics implementiert haben, soll anhand dieses Instruments beispielhaft der Vorgang aufgezeigt werden.

1. Umfang der Verarbeitung personenbezogener Daten

Hier soll auf die Nutzung von Google Analytics eingegangen werden. Neben einer kurzen Erklärung des Tools (wozu dient es und was macht es?) sollten weiterhin auch die erhobenen personenbezogenen Daten genannt werden. Da Google seinen Sitz in den USA hat, sollte zusätzlich auch noch auf die Datenübermittlung an einen Drittstaat eingegangen werden.

2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Keine Verarbeitung ohne Rechtsgrundlage. Für die rechtskonforme Nutzung von Google Analytics sollte eine korrekte Rechtsgrundlage genannt werden.

3. Zweck der Datenverarbeitung

Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Demzufolge muss an dieser Stelle der Zweck der Datenverarbeitung durch Google Analytics definiert werden. Wozu dient das Tool? Wofür benutzt das Unternehmen Google Analytics?

4. Dauer der Speicherung

Die Dauer der Speicherung der von Google Analytics erhobenen Daten ist zu definieren. Wie lange werden die Daten aufbewahrt, bis sie gelöscht werden? Wie lange speichert Google diese Daten, wie lange sind sie beim Webseitenbetreiber verfügbar?

5. Widerspruchs- und Beseitigungsmöglichkeit

An dieser Stelle sollten Möglichkeiten aufgezeigt werden, wie sich Nutzer der Webseite vor der Erhebung ihrer personenbezogenen Daten durch Google Analytics schützen können. Häufig bietet sich hierfür eine sogenannte Opt-Out-Möglichkeit an.

III. Rechte der betroffenen Person

Die Betroffenenrechte nach der DSGVO sind detailliert aufzuzeigen und zu beschreiben.

IV. Recht auf Vorbehalt

Schließlich sollte noch der Hinweis implementiert werden, dass sich der Webseitenbetreiber vorbehält, die Datenschutzerklärung im Rahmen der geltenden Datenschutzgesetze zu ändern und gegebenenfalls anzupassen.

Datenschutzerklärung – erstellen oder erstellen lassen?

Wer sich nach diesen vielen Informationen nun erst einmal an den Kopf langt, dem sei gesagt: Niemand ist alleine mit seiner Datenschutzerklärung! Wer mit ausreichend juristischem Wissen im Hinterkopf unterwegs ist, dem fällt die eigenständige Erstellung der DSE sicherlich leichter.

Doch es gibt auch andere Möglichkeiten. Im Internet werden beispielsweise Generatoren angeboten, die kostenlos und automatisiert Texte erstellen. Diese können dann als Klartext oder Quelltext in der Webseite eingebaut werden. Häufig decken diese kostenlosen Versionen jedoch nur die wichtigsten Faktoren ab, versagen jedoch an der Individualisierung. Denn jedes Unternehmen verarbeitet Daten anders und muss seine Datenschutzerklärung möglichst individuell dahingehend anpassen.

Und nicht zuletzt gibt es da die absolut sichere Seite: Sie lassen ihre Datenschutzerklärung von einem Experten erstellen. Mit der Unterstützung eines Juristen oder Datenschutzbeauftragten wird die Erklärung individuell mit besonderer datenschutzrechtlicher Expertise an die speziellen Anforderungen des Unternehmens angepasst. Die beauftragten Dienstleister können auf aktuelle Rechtsprechungen und Entwicklungen reagieren und kommen auch mit Aktualisierungen immer wieder auf sie zu.

Stetige Aktualisierung der Datenschutzerklärung

Ein weiterer Aspekt, der leider viel zu selten bedacht wird ist, dass die Arbeit nach der Erstellung nicht aufhört. Die Datenschutzerklärung muss regelmäßig geprüft werden und bei Änderungen im Prozess der Datenverwaltung auch angepasst werden. Hier lohnt es sich, regelmäßig einen fachlichen Blick darauf werfen zu lassen. Denn immer neue Rechtsprechungen und Urteile diesbezüglich bringen regelmäßig Entwicklungen mit sich, die auch in der eigenen Datenschutzerklärung Anwendung finden müssen. Aber auch durch Updates, die Nutzung anderer Dienste oder neuer Plug-Ins auf der Webseite können sich die Anforderungen und Rahmenbedingungen für die Datenschutzerklärung schnell ändern.

Kurz und knapp

Die Angabe einer Datenschutzerklärung auf einer Webseite ist nicht erst seit der DSGVO erforderlich. Hierfür gibt es gewisse Rahmenbedingungen und Anforderungen, die erfüllt werden müssen. Fehlerhafte oder sogar gänzlich fehlende Angaben können zu Abmahnungen oder sogar Bußgeldern führen. Wer das verhindern will muss sicherstellen, dass eine vollständige Datenschutzerklärung in verständlicher Form auf der Webseite zur Verfügung steht. Ein Datenschutzbeauftragter kann hier als spezialisierter Experte die individuelle und rechtssichere Erstellung der Datenschutzerklärung begleiten.