Datenschutzerklärung: Das kommt rein und so ist sie aufgebaut

Spätestens seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ist klar: Jede Website, die Daten ihrer Besucher:innen erhebt, verarbeitet und eventuell auch weitergibt, braucht eine umfassende Datenschutzerklärung. Doch dieses komplexe Thema stellt Unternehmen weiterhin vor Herausforderungen. Deshalb haben wir in diesem Artikel für Sie zusammengefasst, wie Sie Ihre Datenschutzerklärung nicht nur sinnvoll aufbauen, sondern auch, wie Sie sie mit allen erforderlichen Inhalten ausstatten.

Datenschutzerklärung – wozu der Aufwand?

Eine aussagekräftige Onlinepräsenz in Form einer eigenen Website gehört zu Standardrepertoire nahezu aller Selbständiger. Mit ihr präsentieren Sie sich und Ihre Angebote potenziellen Auftraggeber:innen und können sich als Expertin oder Experte auf Ihrem Gebiet positionieren. Gleichzeitig bietet sich Ihnen die Möglichkeit, etwas über Ihre Zielgruppe zu erfahren. Analyse- und Tracking-Tools ermöglichen das Sammeln von Daten Ihrer Websitebesucher:innen, sodass Sie sich ein genaues Bild machen können, wen Sie mit Ihren Angeboten erreichen. Doch was erst einmal nützlich klingt, ist vom Gesetzgeber strengen Regeln unterworfen.

Wer als Gründer:in, Freelancer:in oder Selbständige:r eine Website, einen Blog oder einen Onlineshop betreibt und dabei personenbezogene Daten der Besucher:innen sammelt, braucht eine Datenschutzerklärung. Was einfach klingt, wird aber schnell komplex, denn: Eine Datenschutzerklärung muss zum einen ganz genau darüber informieren, inwieweit und zu welchem Zweck personenbezogene Daten verwendet werden. Zum anderen müssen Sie den User:innen Ihrer Website die Möglichkeit geben, ihre Rechte gemäß DSGVO auszuüben und sich umfassend zu informieren. All das erfordert ein komplexes Gebilde an Informationen, die Sie in Ihrer Datenschutzerklärung korrekt aufbereiten und darstellen müssen.

Information über Erhebung und Nutzung personenbezogener Daten

Mit einer korrekten Datenschutzerklärung machen Sie deutlich, dass Sie mit den Daten Ihrer Websitebesucher:innen nicht nur verantwortungsbewusst umgehen, sondern auch, welche Maßnahmen Sie dafür ergreifen. Nutzer:innen müssen ihr Folgendes entnehmen können:

Um diese Fragen zu beantworten, sollten Sie den Inhalt Ihrer Datenschutzerklärung wie folgt aufbereiten und verfügbar machen:

Egal, welchen Punkt zum Thema Datenschutz Sie behandeln, drücken Sie sich dabei so klar und deutlich aus, wie möglich.

Lassen Sie keinen Raum für Missverständnisse: Legen Sie sämtliche Prozesse der Datenerhebung und -verarbeitung offen.

Wenn möglich, vermeiden Sie juristische Fachbegriffe. Ist eine Verwendung unumgänglich, klären Sie die Besucher:innen Ihrer Website über die Bedeutung auf.

Eine sinnvolle Gliederung erleichtert Leser:innen das Verständnis Ihrer Datenschutzerklärung enorm. Am besten, Sie informieren in einer Einleitung über Sinn und Zweck, klären nacheinander wichtige Begrifflichkeiten und weisen Ihre Besucher:innen auf ihre Rechte hin. Anschießend ist es sinnvoll, alle verwendeten Datensätze und Tools nacheinander aufzugreifen und deren Datenverarbeitungsprozesse genau zu erläutern. Im Folgenden gehen wir noch detaillierter auf die erforderlichen Inhalte einer Datenschutzerklärung ein.

Rechtliche Basis

Die Pflicht zur Datenschutzerklärung basiert auf Artikel 13 der Datenschutzgrundverordnung. Dieser legt für Websitebetreiber:innen die Informationspflicht gegenüber betroffenen Personen fest, wenn Sie auf Ihrer Website personenbezogene Daten erheben. Diese Rechtsgrundlage sollten Sie in Ihrer Datenschutzerklärung unbedingt angeben!

 

Die richtige Platzierung

Genau wie das Impressum muss die Datenschutzerklärung immer verfügbar und von jeder Seite der Webpräsenz aus erreichbar sein. Bewährt hat sich eine Platzierung direkt neben dem Verweis zum Impressum. Idealerweise nimmt die/der Nutzer:in sie so bereits zu Beginn des Nutzungsvorgangs wahr.

Aufbau der Datenschutzerklärung

Bevor wir uns dem Aufbau der Datenschutzerklärung zuwenden, ist es wichtig, einen Begriff zu klären. Im Zusammenhang mit dem Thema Datenverarbeitung tauchen immer wieder die sogenannten „personenbezogenen Daten“ auf. Dabei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar. Diese Daten dürfen Sie (mit der passenden rechtlichen Grundlage) erheben, verarbeiten und weitergeben.

Tipp: Die DSGVO stellt Websitebebtreiber:innen immer wieder vor komplexe Probleme: Im DSGVO-Faktencheck: Bußgelder, Urteile und Risiken unter der Lupe! haben wir die Entwicklungen der letzten Jahre betrachtet und verraten, was sie für Selbständige, Freelancer:innen und Gründer:innen bedeuten.

Widmen wir uns nun der Gliederung Ihrer Datenschutzerklärung. Preschen Sie bei der Erstellung nicht einfach drauflos, sondern nehmen Sie sich ausreichend Zeit, Ihre Angaben im Vorfeld sinnvoll aufzubereiten. Anschließend können Sie die erarbeiteten Punkte mit Inhalt befüllen.

Allgemeines

Gemeint ist hier die/der Betreiber:in der Website – also entweder Sie selbst oder Ihr Unternehmen. Geben Sie unter diesem Punkt Ihren vollständigen Namen beziehungsweise den Ihres Unternehmens an und hinterlegen Sie Ihre Kontaktdaten, unter denen Sie sowohl elektronisch als auch analog erreichbar sind.

Die DSGVO schreibt die Pflichtbestellung einer oder eines Datenschutzbeauftragten unabhängig von der Anzahl der Beschäftigten in einem Unternehmen vor, wenn die Voraussetzungen nach Artikel 37 Absatz 1 DSGVO erfüllt sind. Dies kann entweder ein:e interne:r oder externe:r Datenschutzbeauftragte:r sein. Sind Sie nicht verpflichtet, eine:n Datenschutzbeauftragte:n zu bestellen, müssen Sie dennoch eine:n Verantwortliche:n für die Datenverarbeitung angeben. Wenn Ihr Business aus nur einer Person besteht, können das auch Sie selbst sein. In jedem Fall müssen Sie Nutzer:innen an dieser Stelle eine:n Ansprechpartner:in samt Anschrift und Kontaktdaten zur Verfügung stellen.

Hier klären Sie über den Zweck sowie die rechtliche Grundlage für Ihre Datenschutzerklärung auf. Beruht diese auf Artikel 6 Absatz 1 f der DSGVO (Verarbeitung zur Wahrung der berechtigten Interessen der/des Verantwortlichen oder einer/eines Dritten), müssen Sie diese berechtigten Interessen darlegen.

Hier legen Sie dar, wer die erhobenen Daten einsehen kann, zum Beispiel bestimmte Dienste oder Organisationen. Das gilt auch für die Weitergabe an Dritte.

Geben Sie erhobene Daten ins Ausland weiter, machen Sie das unbedingt in Ihrer Datenschutzerklärung deutlich! Geben Sie dabei auch das festgelegte Datenschutzniveau des Drittlandes an. Werden die Daten gemäß den Artikeln 46, 47 oder 49 übermittelt, dann verweisen Sie auf die geeigneten oder angemessenen Garantien, die die/der Verantwortliche oder Auftragsverarbeiter:in vorgesehen hat und lassen Sie Ihre User:innen wissen, wo sie diese einsehen können.

Informieren Sie darüber, warum und wie lange Sie welche Daten speichern. Denn nutzen Sie personenbezogene Daten nicht mehr, sind Sie verpflichtet, diese automatisch zu löschen, ohne dass Sie dazu aufgefordert werden. Für einige Daten gelten allerdings steuer- beziehungsweise handelsrechtliche Fristen.

Kommt auf Ihrer Website die sogenannte automatisierte Entscheidungsfindung zum Einsatz, müssen Sie über die zugrundeliegende Logik aufklären sowie die Tragweite samt Auswirkungen auf die Betroffenen eingehend darlegen. Eine automatisierte Entscheidungsfindung findet statt, wenn beim Besuch Ihrer Website Entscheidungen auf rein technischem Weg ohne menschliches Eingreifen getroffen werden – zum Beispiel bei der automatischen Ablehnung eines Online-Antrags. Von Profiling spricht man bei der automatisierten Verarbeitung personenbezogener Daten samt deren Verwendung mit dem Zweck, mehr über die Besucher:innen Ihrer Website herauszufinden, damit Sie deren Interessen, Verhalten und Eigenschaften analysieren und vorhersagen können.

Die Rechte der Betroffenen

Wenn Sie auf Ihrer Website personenbezogene Daten erheben, können die davon betroffenen Personen diesbezüglich diverse Rechte wahrnehmen, über die Sie in Ihrer Datenschutzerklärung informieren müssen. Dazu gehören:

Bei einer gesetzlichen oder vertraglichen Datenerhebungspflicht ist die/der Betroffene außerdem darüber aufzuklären und muss auch wissen, welche Konsequenzen es hat, wenn sie/er die nötigen Daten nicht bereitstellt. Nutzen Sie personenbezogene Daten nicht mehr, sind Sie verpflichtet, diese automatisch und ohne Aufforderung zu löschen. Die einzige Ausnahme bilden Daten, für die steuer- oder handelsrechtliche Fristen gelten.

Datensammlung

Cookies, Plugins, Analysesoftware und Co. ermöglichen Ihnen als Websitebetreiber:in spannende Einblicke in das Verhalten Ihrer Zielgruppe. Wo verweilen User:innen besonders lang? Wo springen Sie ab? Diese Erkenntnisse helfen Ihnen dabei, Ihren Webauftritt zu optimieren. Allerdings sind Sie zu diesem Zweck gezwungen, Daten Ihrer Besucher:innen nicht nur zu erheben, sondern auch zu verarbeiten und gegebenenfalls auch weiterzugeben. Daher müssen Sie in Ihrer Datenschutzerklärung detailliert auf diese Prozesse eingehen und die Betroffenen umfassen informieren. Lassen Sie dabei nichts aus und widmen Sie sich jedem Punkt einzeln.

IP-Adresse

Eine IP-Adresse ist für die Nutzung der meisten Online-Dienste zwingend notwendig. Sie wird beim Aufruf einer Website an deren Server gesendet und macht die Zuordnung zu einem ganz bestimmten Computer möglich. Daher handelt es sich bei einer PI-Adresse um eine personenbezogene Angabe. Den Umgang damit sollten Sie daher in Ihrer Datenschutzerklärung unbedingt erläutern.

Browserdaten

Browserdaten sind eine wahre Goldgrube, wenn es darum geht, etwas über die Nutzer:innen einer Website zu erfahren. Angaben zu Browser und Betriebssystem mögend Laien erst einmal nicht als personenbezogene Daten erscheinen, doch spätestens über die verwendeten Hardware-Komponenten, Patches, Treibern und Software werden Betroffene eindeutig bestimmbar. Spätestens dann, müssen Sie in Ihrer Datenschutzerklärung über die Datenerhebung informieren.

Cookies

Kaum etwas war in der Rechtsprechung so umstritten wie die richtige Nutzung von Cookies – erst im Juni 2021 gab es hier einen neuen Vorstoß zu einem Cookie-Verbot, dass allerdings bisher nicht umgesetzt wurde. Die neue Cookie-Richtlinie ab Januar 2022 legt jedoch fest, dass der Einsatz von Cookies unzulässig ist, sofern sie nicht ausdrücklich technisch notwendig sind. Das bedeutet, dass die/der Webseitenbetreiber:in technisch sicherstellen muss, dass Cookies nur dann gesetzt werden, wenn die/der Besucher:in ausdrücklich zugestimmt hat (so genannter Cookie-Consent-Mode). Der Datenschutzerklärung kommt dabei eine wichtige Rolle zu, sie muss über die Verwendung der Cookies aufklären und direkt die Möglichkeit bieten diese zu aktivieren beziehungsweise zu deaktivieren. Ein Widerruf der Zustimmung oder eine Änderung der Cookie-Einstellungen muss Besucher:innen dabei jederzeit möglich sein.

Was sind Cookies? Die kleinen Textdateien werden vom Browser auf dem Endgerät der Websitebesucher:innen hinterlegt. Sie ermöglichen zum Beispiel das Speichern von Login-Daten, Suchanfragen oder Warenkorbinhalten über eine gewisse Zeit hinweg – es handelt sich also unbestritten um personenbezogene Daten.

 

Analysetools

Für welche Inhalte auf Ihrer Website interessieren Nutzer:innen sich besonders? Wie lange verweilen Sie bei Ihnen? Wie gelangen Sie auf Ihre Website? Antworten auf all diese drängenden Fragen liefern Analysetools wie zum Beispiel Google Analytics oder Matomo, indem sie die Daten der User:innen erheben und verarbeiten. Informieren Sie in Ihrer Datenschutzerklärung umfassend über diese Vorgänge und verlinken Sie zusätzlich die Nutzungsbedingungen samt Datenschutzerklärung des verwendeten Analysetools, damit Betroffene sich bei Bedarf direkte Informationen von der Anbieterin oder dem Anbieter holen können.
Obwohl Analysetools flächendeckend eingesetzt werden, vertreten einige Datenschutzexpertinnen und -experten die Meinung, dass bestimmte Analysetools insbesondere aufgrund der Datenübertragung an Drittstaaten nicht vollumfänglich datenschutzkonform eingesetzt werden können. Eine individuelle datenschutzrechtliche Beratung ist bei diesem Thema sicherlich sinnvoll.

Social Plugins

Indem Sie Ihre Website mit Online-Profilen zu verknüpfen, können Sie Ihre Inhalte einem noch breiteren Publikum zugänglich machen und somit mehr Reichweite erzielen. Dafür müssen Sie allerdings auf die personenbezogenen Daten Ihrer Websitebesucher:innen zurückgreifen. Daher gilt auch hier: Legen Sie detailliert dar, warum und wie sie welche Daten erheben und verlinken Sie auch hier auf die Datenschutzerklärungen der Anbieter.

Gerade im Bereich Social Media gibt es Einiges zu beachten. Fachanwalt Carsten Schröder hat uns hierzu im Interview einige Fragen beantwortet:

 
Interview mit Carsten Schröder
 

Im Bereich der Social Plugins ergibt sich allerdings ein weiteres Problem: Oft findet die Datenerhebung bereits dann statt, wenn Nutzer:innen eine Website das erste Mal aufrufen und noch gar nicht die Möglichkeit hatten, in die Erhebung einzuwilligen. Daher genügt hier kein simpler Hinweis, sondern Ihre User:innen benötigen eine echte Aufklärung über die Sammlung ihrer Daten und deren Verwertung. Zusätzlich sollten Sie technische Lösungen nutzen, bei denen die Daten erst übermittelt werden, wenn Nutzer:innen auf das Plugin klicken. Dafür bieten sich zwei Lösungen an:

Dieser Button stellt den direkten Kontakt zwischen einem sozialen Netzwerk und den Besucher:innen her. Erfolgt ein Klick auf diesen Button, öffnet sich ein separates Fenster – User:innen müssen also aktiv tätig werden, bevor sie ihre Daten teilen.

Bei dieser Variante bauen Sie in Ihrer Website einen Code ein, der den User:innen als Button erscheint. Dieser Button ist jedoch erst einmal ausgegraut – Besucher:innen müssen aktiv darauf klicken, um ihn zu aktivieren. Wollen sie zum Beispiel einen Beitrag liken, ist ein erneuter Klick notwendig.

Diese Verantwortlichkeit hat auch der Europäische Gerichtshof in seinem Urteil gegen die Betreiber:innen der Website Fashion ID bestätigt. Demnach kann die/der Betreiber:in einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher:innen ihrer/seiner Website gemeinsam mit Facebook verantwortlich sein (Urteil vom 29.7.2019, Az.: C-40/17 – Fashion ID).

Risiken einer fehlerhaften/fehlenden Datenschutzerklärung

Informationen zur Erhebung, Verarbeitung und Weitergabe personenbezogener Daten sind nicht einfach ein Service für die Besucher:innen Ihrer Website – Sie kommen damit einer wichtigen gesetzlichen Verpflichtung nach. Denn informieren Sie die Nutzer:innen Ihrer Website nicht ordentlich darüber, wie mit ihren Daten verfahren wird, begehen Sie eine Ordnungswidrigkeit, die  hohe Bußgelder nach sich ziehen kann.

Tipp: Nicht nur bei einer fehlerhaften Datenschutzerklärung, sondern auch bei Datenpannen drohen horrende Bußgelder. Deren Höhe können Sie jedoch durch das richtige Verhalten maßgeblich beeinflussen. Wie das geht lesen Sie im Artikel Datenpanne melden: Wie, was, wann, wo?

Zudem laufen Sie Gefahr, dass Sie durch Mitbewerber:innen oder (Verbraucherschutz)Verbände bereits für geringfügige Fehler in den Angaben abgemahnt werden - entsprechende Kosten inklusive.

Nicht zu vergessen sind die Betroffenen eines Datenschutzverstoßes selbst. Ihnen steht nach § 82 DSGVO das Recht auf Schadenersatz für das Versäumnis der/des (Datenschutz)Verantwortlichen oder der/des Auftragsverarbeiter:in (früher auch als Auftragsdatenverarbeiter:in bezeichnet) zu.

Mit einer Berufshaftpflicht auch bei DSGVO-Verstößen abgesichert

Das Erstellen einer rechtskonformen Datenschutzerklärung ist ein komplexes Vorhaben, bei dem sich trotz aller Bemühungen schnell Fehler einschleichen können – ein gefundenes Fressen für Wettbewerber:innen oder Abmahnanwälte und Abmahnanwältinnen, die diese Chance gerne nutzen, um mit Abmahnungen ein gewaltiges Loch in Ihre Unternehmenskasse zu reißen.

Haben Sie eine Berufshaftpflicht über exali abgeschlossen, prüft der Versicherer die Berechtigung einer Abmahnung und kommt im Ernstfall für die damit verbundenen Kosten und mögliche Schadenersatzforderungen auf. Das gilt sogar dann, wenn eine:r Ihrer Auftraggeber:innen aufgrund Ihres Versäumnisses mit einem Bußgeld belegt wird.

Doch wie sieht es mit Straf- und Bußgeldern aus, die ein Gericht oder eine Datenschutzbehörde wegen einer Datenrechtsverletzung gegen Sie selbst verhängt? Selbst diese sind im Rahmen Ihrer Berufshaftpflicht versichert (sofern die Erstattung im konkreten Fall nach geltendem Recht zulässig ist).