Datenschutzerklärung: Das kommt rein und so ist sie aufgebaut
Spätestens seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ist klar: Jede Website, die Daten ihrer Besucher:innen erhebt, verarbeitet und eventuell auch weitergibt, braucht eine umfassende Datenschutzerklärung. Doch dieses komplexe Thema stellt Unternehmen weiterhin vor Herausforderungen. Deshalb haben wir in diesem Artikel für Sie zusammengefasst, wie Sie Ihre Datenschutzerklärung nicht nur sinnvoll aufbauen, sondern auch, wie Sie sie mit allen erforderlichen Inhalten ausstatten.
Datenschutzerklärung – wozu der Aufwand?
Eine aussagekräftige Onlinepräsenz in Form einer eigenen Website gehört zu Standardrepertoire nahezu aller Selbständiger. Mit ihr präsentieren Sie sich und Ihre Angebote potenziellen Auftraggeber:innen und können sich als Expertin oder Experte auf Ihrem Gebiet positionieren. Gleichzeitig bietet sich Ihnen die Möglichkeit, etwas über Ihre Zielgruppe zu erfahren. Analyse- und Tracking-Tools ermöglichen das Sammeln von Daten Ihrer Websitebesucher:innen, sodass Sie sich ein genaues Bild machen können, wen Sie mit Ihren Angeboten erreichen. Doch was erst einmal nützlich klingt, ist vom Gesetzgeber strengen Regeln unterworfen.
Wer als Gründer:in, Freelancer:in oder Selbständige:r eine Website, einen Blog oder einen Onlineshop betreibt und dabei personenbezogene Daten der Besucher:innen sammelt, braucht eine Datenschutzerklärung. Was einfach klingt, wird aber schnell komplex, denn: Eine Datenschutzerklärung muss zum einen ganz genau darüber informieren, inwieweit und zu welchem Zweck personenbezogene Daten verwendet werden. Zum anderen müssen Sie den User:innen Ihrer Website die Möglichkeit geben, ihre Rechte gemäß DSGVO auszuüben und sich umfassend zu informieren. All das erfordert ein komplexes Gebilde an Informationen, die Sie in Ihrer Datenschutzerklärung korrekt aufbereiten und darstellen müssen.
Information über Erhebung und Nutzung personenbezogener Daten
Mit einer korrekten Datenschutzerklärung machen Sie deutlich, dass Sie mit den Daten Ihrer Websitebesucher:innen nicht nur verantwortungsbewusst umgehen, sondern auch, welche Maßnahmen Sie dafür ergreifen. Nutzer:innen müssen ihr Folgendes entnehmen können:
- Wer verarbeitet die auf der Webseite erhobenen Daten?
- Welche Daten werden warum erhoben und wie verarbeitet?
- Welche Rechte haben Nutzer:innen und wie können sie diese ausüben?
Um diese Fragen zu beantworten, sollten Sie den Inhalt Ihrer Datenschutzerklärung wie folgt aufbereiten und verfügbar machen:
- Präzision
Egal, welchen Punkt zum Thema Datenschutz Sie behandeln, drücken Sie sich dabei so klar und deutlich aus, wie möglich.
- Transparenz
Lassen Sie keinen Raum für Missverständnisse: Legen Sie sämtliche Prozesse der Datenerhebung und -verarbeitung offen.
- Klarheit
Wenn möglich, vermeiden Sie juristische Fachbegriffe. Ist eine Verwendung unumgänglich, klären Sie die Besucher:innen Ihrer Website über die Bedeutung auf.
- Gliederung
Eine sinnvolle Gliederung erleichtert Leser:innen das Verständnis Ihrer Datenschutzerklärung enorm. Am besten, Sie informieren in einer Einleitung über Sinn und Zweck, klären nacheinander wichtige Begrifflichkeiten und weisen Ihre Besucher:innen auf ihre Rechte hin. Anschießend ist es sinnvoll, alle verwendeten Datensätze und Tools nacheinander aufzugreifen und deren Datenverarbeitungsprozesse genau zu erläutern. Im Folgenden gehen wir noch detaillierter auf die erforderlichen Inhalte einer Datenschutzerklärung ein.
Rechtliche Basis
Die Pflicht zur Datenschutzerklärung basiert auf Artikel 13 der Datenschutzgrundverordnung. Dieser legt für Websitebetreiber:innen die Informationspflicht gegenüber betroffenen Personen fest, wenn Sie auf Ihrer Website personenbezogene Daten erheben. Diese Rechtsgrundlage sollten Sie in Ihrer Datenschutzerklärung unbedingt angeben!
Die richtige Platzierung
Genau wie das Impressum muss die Datenschutzerklärung immer verfügbar und von jeder Seite der Webpräsenz aus erreichbar sein. Bewährt hat sich eine Platzierung direkt neben dem Verweis zum Impressum. Idealerweise nimmt die/der Nutzer:in sie so bereits zu Beginn des Nutzungsvorgangs wahr.
Aufbau der Datenschutzerklärung
Bevor wir uns dem Aufbau der Datenschutzerklärung zuwenden, ist es wichtig, einen Begriff zu klären. Im Zusammenhang mit dem Thema Datenverarbeitung tauchen immer wieder die sogenannten „personenbezogenen Daten“ auf. Dabei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar. Diese Daten dürfen Sie (mit der passenden rechtlichen Grundlage) erheben, verarbeiten und weitergeben.
Tipp: Die DSGVO stellt Websitebebtreiber:innen immer wieder vor komplexe Probleme: Im DSGVO-Faktencheck: Bußgelder, Urteile und Risiken unter der Lupe! haben wir die Entwicklungen der letzten Jahre betrachtet und verraten, was sie für Selbständige, Freelancer:innen und Gründer:innen bedeuten.
Widmen wir uns nun der Gliederung Ihrer Datenschutzerklärung. Preschen Sie bei der Erstellung nicht einfach drauflos, sondern nehmen Sie sich ausreichend Zeit, Ihre Angaben im Vorfeld sinnvoll aufzubereiten. Anschließend können Sie die erarbeiteten Punkte mit Inhalt befüllen.
Allgemeines
- Name und Kontaktdaten der/des Verantwortlichen
Gemeint ist hier die/der Betreiber:in der Website – also entweder Sie selbst oder Ihr Unternehmen. Geben Sie unter diesem Punkt Ihren vollständigen Namen beziehungsweise den Ihres Unternehmens an und hinterlegen Sie Ihre Kontaktdaten, unter denen Sie sowohl elektronisch als auch analog erreichbar sind.
- Datenschutzbeauftragte:r oder Verantwortliche:r für die Datenverarbeitung und ihre/seine Kontaktdaten
Die DSGVO schreibt die Pflichtbestellung einer oder eines Datenschutzbeauftragten unabhängig von der Anzahl der Beschäftigten in einem Unternehmen vor, wenn die Voraussetzungen nach Artikel 37 Absatz 1 DSGVO erfüllt sind. Dies kann entweder ein:e interne:r oder externe:r Datenschutzbeauftragte:r sein. Sind Sie nicht verpflichtet, eine:n Datenschutzbeauftragte:n zu bestellen, müssen Sie dennoch eine:n Verantwortliche:n für die Datenverarbeitung angeben. Wenn Ihr Business aus nur einer Person besteht, können das auch Sie selbst sein. In jedem Fall müssen Sie Nutzer:innen an dieser Stelle eine:n Ansprechpartner:in samt Anschrift und Kontaktdaten zur Verfügung stellen.
- Allgemeine Hinweise zur Datenschutzerklärung
Hier klären Sie über den Zweck sowie die rechtliche Grundlage für Ihre Datenschutzerklärung auf. Beruht diese auf Artikel 6 Absatz 1 f der DSGVO (Verarbeitung zur Wahrung der berechtigten Interessen der/des Verantwortlichen oder einer/eines Dritten), müssen Sie diese berechtigten Interessen darlegen.
- Empfänger:innen der Daten
Hier legen Sie dar, wer die erhobenen Daten einsehen kann, zum Beispiel bestimmte Dienste oder Organisationen. Das gilt auch für die Weitergabe an Dritte.
- Übermittlung ins Ausland
Geben Sie erhobene Daten ins Ausland weiter, machen Sie das unbedingt in Ihrer Datenschutzerklärung deutlich! Geben Sie dabei auch das festgelegte Datenschutzniveau des Drittlandes an. Werden die Daten gemäß den Artikeln 46, 47 oder 49 übermittelt, dann verweisen Sie auf die geeigneten oder angemessenen Garantien, die die/der Verantwortliche oder Auftragsverarbeiter:in vorgesehen hat und lassen Sie Ihre User:innen wissen, wo sie diese einsehen können.
- Umfang, Dauer und Löschung der Datenspeicherung
Informieren Sie darüber, warum und wie lange Sie welche Daten speichern. Denn nutzen Sie personenbezogene Daten nicht mehr, sind Sie verpflichtet, diese automatisch zu löschen, ohne dass Sie dazu aufgefordert werden. Für einige Daten gelten allerdings steuer- beziehungsweise handelsrechtliche Fristen.
- Profiling und automatisierte Entscheidungsfindung
Kommt auf Ihrer Website die sogenannte automatisierte Entscheidungsfindung zum Einsatz, müssen Sie über die zugrundeliegende Logik aufklären sowie die Tragweite samt Auswirkungen auf die Betroffenen eingehend darlegen. Eine automatisierte Entscheidungsfindung findet statt, wenn beim Besuch Ihrer Website Entscheidungen auf rein technischem Weg ohne menschliches Eingreifen getroffen werden – zum Beispiel bei der automatischen Ablehnung eines Online-Antrags. Von Profiling spricht man bei der automatisierten Verarbeitung personenbezogener Daten samt deren Verwendung mit dem Zweck, mehr über die Besucher:innen Ihrer Website herauszufinden, damit Sie deren Interessen, Verhalten und Eigenschaften analysieren und vorhersagen können.
Die Rechte der Betroffenen
Wenn Sie auf Ihrer Website personenbezogene Daten erheben, können die davon betroffenen Personen diesbezüglich diverse Rechte wahrnehmen, über die Sie in Ihrer Datenschutzerklärung informieren müssen. Dazu gehören:
- Das Auskunftsrecht (Artikel 15 DSGVO): Betroffene können Auskunft darüber verlangen, ob ihre personenbezogenen Daten verarbeitet werden. Ist das der Fall, haben sie ein Recht darauf, zu erfahren, um welche Daten es sich handelt und zu welchem Zweck sie verarbeitet werden. Zusätzlich können sie Informationen darüber einfordern, wer ihre Daten einsehen kann und wie lange sie gespeichert werden.
- Das Recht auf Berichtigung (Artikel 16 DSGVO): Besucher:innen Ihrer Website dürfen (falls notwendig) die unverzügliche Berichtigung und/oder Vervollständigung ihrer Daten verlangen.
- Das Recht auf Löschung (Artikel 17 DSGVO): Betroffene können die sofortige Löschung Ihrer Daten verlangen, wenn…
- …die erhobenen Daten ihren Zweck erfüllt haben und ihre Erhebung beziehungsweise Verarbeitung nicht mehr notwendig ist.
- …sie ihre Einwilligung gemäß Artikel 6 Absatz 1 a oder Artikel 9 Absatz 2 a widerrufen haben und auch sonst keine Rechtsgrundlage dafür existiert.
- …sie nach Artikel 21 Absatz 1 oder 2 der Verarbeitung widersprochen haben und auch sonst keine Gründe für die Datenverarbeitung vorhanden sind.
- …ihre Daten unrechtmäßig verarbeitet wurden.
- …die Löschung ihrer Daten nach EU-Recht notwendig ist.
- …die Daten im Zusammenhang mit Diensten der Informationsgesellschaft nach Artikel 8 Absatz 1 DSGVO erhoben wurden.
- Das Recht auf Einschränkung der Verarbeitung ( Artikel 18 DSGVO): Wer Ihre Website besucht, kann verlangen, dass Sie die Verarbeitung ihrer/seiner Daten einschränken, wenn bestimmte Voraussetzungen erfüllt sind, zum Beispiel, wenn die betroffene Person die Richtigkeit der erhobenen Daten infrage stellt oder die Verarbeitung nicht rechtmäßig erfolgte.
- Das Recht auf Unterrichtung (Artikel 19 DSGVO): Haben Sie Daten Ihrer Besucher:innen berichtigt, gelöscht oder deren Verarbeitung eingeschränkt, müssen Sie die Empfänger:innen dieser Daten darüber unterrichten.
- Das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO): Sie sind verpflichtet, betroffenen Personen auf Wunsch, die sie betreffenden Daten zur Verfügung zu stellen. Außerdem dürfen Betroffene diese Daten auch anderen übermitteln, wenn die Rechtsgrundlage für eine Verarbeitung gegeben ist.
- Das Widerspruchsrecht (Artikel 21 DSGVO): Jede:r, dessen personenbezogene Daten einer Verarbeitung unterliegen hat das Recht, dieser Verarbeitung zu widersprechen. Als Verantwortliche:r müssen Sie diesem Widerspruch nachkommen, wenn Sie keine schutzwürdigen Gründe für die Verarbeitung nachweisen können.
- Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77 DSGVO): Gelangt eine betroffene Person zu dem Schluss, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt, hat sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren.
Bei einer gesetzlichen oder vertraglichen Datenerhebungspflicht ist die/der Betroffene außerdem darüber aufzuklären und muss auch wissen, welche Konsequenzen es hat, wenn sie/er die nötigen Daten nicht bereitstellt. Nutzen Sie personenbezogene Daten nicht mehr, sind Sie verpflichtet, diese automatisch und ohne Aufforderung zu löschen. Die einzige Ausnahme bilden Daten, für die steuer- oder handelsrechtliche Fristen gelten.
Datensammlung
Cookies, Plugins, Analysesoftware und Co. ermöglichen Ihnen als Websitebetreiber:in spannende Einblicke in das Verhalten Ihrer Zielgruppe. Wo verweilen User:innen besonders lang? Wo springen Sie ab? Diese Erkenntnisse helfen Ihnen dabei, Ihren Webauftritt zu optimieren. Allerdings sind Sie zu diesem Zweck gezwungen, Daten Ihrer Besucher:innen nicht nur zu erheben, sondern auch zu verarbeiten und gegebenenfalls auch weiterzugeben. Daher müssen Sie in Ihrer Datenschutzerklärung detailliert auf diese Prozesse eingehen und die Betroffenen umfassen informieren. Lassen Sie dabei nichts aus und widmen Sie sich jedem Punkt einzeln.
IP-Adresse
Eine IP-Adresse ist für die Nutzung der meisten Online-Dienste zwingend notwendig. Sie wird beim Aufruf einer Website an deren Server gesendet und macht die Zuordnung zu einem ganz bestimmten Computer möglich. Daher handelt es sich bei einer PI-Adresse um eine personenbezogene Angabe. Den Umgang damit sollten Sie daher in Ihrer Datenschutzerklärung unbedingt erläutern.
Browserdaten
Browserdaten sind eine wahre Goldgrube, wenn es darum geht, etwas über die Nutzer:innen einer Website zu erfahren. Angaben zu Browser und Betriebssystem mögend Laien erst einmal nicht als personenbezogene Daten erscheinen, doch spätestens über die verwendeten Hardware-Komponenten, Patches, Treibern und Software werden Betroffene eindeutig bestimmbar. Spätestens dann, müssen Sie in Ihrer Datenschutzerklärung über die Datenerhebung informieren.
Cookies
Kaum etwas war in der Rechtsprechung so umstritten wie die richtige Nutzung von Cookies – erst im Juni 2021 gab es hier einen neuen Vorstoß zu einem Cookie-Verbot, dass allerdings bisher nicht umgesetzt wurde. Die neue Cookie-Richtlinie ab Januar 2022 legt jedoch fest, dass der Einsatz von Cookies unzulässig ist, sofern sie nicht ausdrücklich technisch notwendig sind. Das bedeutet, dass die/der Webseitenbetreiber:in technisch sicherstellen muss, dass Cookies nur dann gesetzt werden, wenn die/der Besucher:in ausdrücklich zugestimmt hat (so genannter Cookie-Consent-Mode). Der Datenschutzerklärung kommt dabei eine wichtige Rolle zu, sie muss über die Verwendung der Cookies aufklären und direkt die Möglichkeit bieten diese zu aktivieren beziehungsweise zu deaktivieren. Ein Widerruf der Zustimmung oder eine Änderung der Cookie-Einstellungen muss Besucher:innen dabei jederzeit möglich sein.
Analysetools
Für welche Inhalte auf Ihrer Website interessieren Nutzer:innen sich besonders? Wie lange verweilen Sie bei Ihnen? Wie gelangen Sie auf Ihre Website? Antworten auf all diese drängenden Fragen liefern Analysetools wie zum Beispiel Google Analytics oder Matomo, indem sie die Daten der User:innen erheben und verarbeiten. Informieren Sie in Ihrer Datenschutzerklärung umfassend über diese Vorgänge und verlinken Sie zusätzlich die Nutzungsbedingungen samt Datenschutzerklärung des verwendeten Analysetools, damit Betroffene sich bei Bedarf direkte Informationen von der Anbieterin oder dem Anbieter holen können.
Obwohl Analysetools flächendeckend eingesetzt werden, vertreten einige Datenschutzexpertinnen und -experten die Meinung, dass bestimmte Analysetools insbesondere aufgrund der Datenübertragung an Drittstaaten nicht vollumfänglich datenschutzkonform eingesetzt werden können. Eine individuelle datenschutzrechtliche Beratung ist bei diesem Thema sicherlich sinnvoll.
Social Plugins
Indem Sie Ihre Website mit Online-Profilen zu verknüpfen, können Sie Ihre Inhalte einem noch breiteren Publikum zugänglich machen und somit mehr Reichweite erzielen. Dafür müssen Sie allerdings auf die personenbezogenen Daten Ihrer Websitebesucher:innen zurückgreifen. Daher gilt auch hier: Legen Sie detailliert dar, warum und wie sie welche Daten erheben und verlinken Sie auch hier auf die Datenschutzerklärungen der Anbieter.
Gerade im Bereich Social Media gibt es Einiges zu beachten. Fachanwalt Carsten Schröder hat uns hierzu im Interview einige Fragen beantwortet:
Im Bereich der Social Plugins ergibt sich allerdings ein weiteres Problem: Oft findet die Datenerhebung bereits dann statt, wenn Nutzer:innen eine Website das erste Mal aufrufen und noch gar nicht die Möglichkeit hatten, in die Erhebung einzuwilligen. Daher genügt hier kein simpler Hinweis, sondern Ihre User:innen benötigen eine echte Aufklärung über die Sammlung ihrer Daten und deren Verwertung. Zusätzlich sollten Sie technische Lösungen nutzen, bei denen die Daten erst übermittelt werden, wenn Nutzer:innen auf das Plugin klicken. Dafür bieten sich zwei Lösungen an:
- Shariff-Button
Dieser Button stellt den direkten Kontakt zwischen einem sozialen Netzwerk und den Besucher:innen her. Erfolgt ein Klick auf diesen Button, öffnet sich ein separates Fenster – User:innen müssen also aktiv tätig werden, bevor sie ihre Daten teilen.
- Zwei-Klick-Lösung
Bei dieser Variante bauen Sie in Ihrer Website einen Code ein, der den User:innen als Button erscheint. Dieser Button ist jedoch erst einmal ausgegraut – Besucher:innen müssen aktiv darauf klicken, um ihn zu aktivieren. Wollen sie zum Beispiel einen Beitrag liken, ist ein erneuter Klick notwendig.
Diese Verantwortlichkeit hat auch der Europäische Gerichtshof in seinem Urteil gegen die Betreiber:innen der Website Fashion ID bestätigt. Demnach kann die/der Betreiber:in einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher:innen ihrer/seiner Website gemeinsam mit Facebook verantwortlich sein (Urteil vom 29.7.2019, Az.: C-40/17 – Fashion ID).
Risiken einer fehlerhaften/fehlenden Datenschutzerklärung
Informationen zur Erhebung, Verarbeitung und Weitergabe personenbezogener Daten sind nicht einfach ein Service für die Besucher:innen Ihrer Website – Sie kommen damit einer wichtigen gesetzlichen Verpflichtung nach. Denn informieren Sie die Nutzer:innen Ihrer Website nicht ordentlich darüber, wie mit ihren Daten verfahren wird, begehen Sie eine Ordnungswidrigkeit, die hohe Bußgelder nach sich ziehen kann.
Tipp: Nicht nur bei einer fehlerhaften Datenschutzerklärung, sondern auch bei Datenpannen drohen horrende Bußgelder. Deren Höhe können Sie jedoch durch das richtige Verhalten maßgeblich beeinflussen. Wie das geht lesen Sie im Artikel Datenpanne melden: Wie, was, wann, wo?
Zudem laufen Sie Gefahr, dass Sie durch Mitbewerber:innen oder (Verbraucherschutz)Verbände bereits für geringfügige Fehler in den Angaben abgemahnt werden - entsprechende Kosten inklusive.
Nicht zu vergessen sind die Betroffenen eines Datenschutzverstoßes selbst. Ihnen steht nach § 82 DSGVO das Recht auf Schadenersatz für das Versäumnis der/des (Datenschutz)Verantwortlichen oder der/des Auftragsverarbeiter:in (früher auch als Auftragsdatenverarbeiter:in bezeichnet) zu.
Mit einer Berufshaftpflicht auch bei DSGVO-Verstößen abgesichert
Das Erstellen einer rechtskonformen Datenschutzerklärung ist ein komplexes Vorhaben, bei dem sich trotz aller Bemühungen schnell Fehler einschleichen können – ein gefundenes Fressen für Wettbewerber:innen oder Abmahnanwälte und Abmahnanwältinnen, die diese Chance gerne nutzen, um mit Abmahnungen ein gewaltiges Loch in Ihre Unternehmenskasse zu reißen.
Haben Sie eine Berufshaftpflicht über exali abgeschlossen, prüft der Versicherer die Berechtigung einer Abmahnung und kommt im Ernstfall für die damit verbundenen Kosten und mögliche Schadenersatzforderungen auf. Das gilt sogar dann, wenn eine:r Ihrer Auftraggeber:innen aufgrund Ihres Versäumnisses mit einem Bußgeld belegt wird.
Doch wie sieht es mit Straf- und Bußgeldern aus, die ein Gericht oder eine Datenschutzbehörde wegen einer Datenrechtsverletzung gegen Sie selbst verhängt? Selbst diese sind im Rahmen Ihrer Berufshaftpflicht versichert (sofern die Erstattung im konkreten Fall nach geltendem Recht zulässig ist).