Hinweise zur Datenschutzerklärung
Wenn es um das Thema Datenschutzerklärung und DSGVO (Datenschutzgrundverordnung) geht, herrscht häufig Verunsicherung. Viele fragen sich, »Brauche ich überhaupt eine Datenschutzerklärung?«
Viele Website Betreiber glauben, sie verarbeiten personenbezogene Daten überhaupt nicht. Sehr wahrscheinlich ist diese Einschätzung nicht korrekt. Denn »personenbezogene Daten« werden bereits verarbeitet, wenn ein Nutzer deine Website mit seiner IP-Adresse besucht. Also eigentlich immer.
Hinweis: Die folgenden Informationen beruhen auf eigenen Recherchen und Erfahrungen. Ich bin aber kein Rechtsanwalt. Wenn Du 100%ig sicher sein willst, dass deine Website rechtskonform ist, solltest Du dich bei einem entsprechendem Rechtsanwalt (Fachanwalt für IT oder Medienrecht) informieren. Weitere Informationen zum Thema Datenschutz erhältst Du von der IHK oder bei einem Online Rechtsportal wie z.B. e-Recht24.de.
Eine Datenschutzerklärung beschreibt die Verarbeitung von Informationen und Daten durch eine Organisation. Dazu gehören vor allem personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, IP-Adresse. Die Datenschutzerklärung ist abzugrenzen von der Einwilligung im Datenschutz. …
Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Typische personenbezogene Daten sind Name, Adresse, Alter, E-Mail-Adresse, IP-Adresse oder Standortdaten. Zu den personenbezogenen Daten gehören aber auch Informationen wie Sozialversicherungsnummer, Personalausweisnummer, Kontonummer sowie alle Daten, die das Aussehen einer Person betreffen.
Wer braucht eine Datenschutzerklärung?
Eine Datenschutzerklärung ist nur notwendig, wenn Du personenbezogene Daten erhebst und verarbeitest (Art. 14 DSGVO). Auf den ersten Blick könnte man glauben, eine »private« Website verarbeitet keine personenbezogenen Daten, wenn Du kein Kontaktformular, keine Werbebanner, keine Social Media Plugins usw. einsetzt. Der Server, auf dem die Webseiten gespeichert sind (gehostet werden), erhebt aber im Hintergrund personenbezogene Daten in Form von Server Logfiles. Diese Logfiles enthalten unter anderem die IP-Adressen der Besucher. Die IP-Adressen sind personenbezogene Daten.
Fazit: Jede Website braucht eine Datenschutzerklärung.
Was muss in der Datenschutzerklärung stehen?
Die Datenschutzerklärung muss in einer einfachen und klaren Sprache formuliert werden und muss übersichtlich gegliedert sein. Dabei sollen juristische Fachbegriffe vermieden werden. Folgende Informationen müssen gemäß Art. 13 DSGVO auf jeden Fall in der Datenschutzerklärung stehen.
Name und Kontaktdaten des Verantwortlichen (Betreiber der Website)
Allgemeine Hinweise zur Datenschutzerklärung, z.B. Zweck und Rechtsgrundlage zur Erhebung und Verarbeitung personenbezogener Daten
Hinweis auf Recht auf Auskunft über die gespeicherten personenbezogenen Daten
Hinweis auf Recht auf Bestätigung, ob personenbezogene Daten gespeichert sind
Hinweis auf Recht auf Löschung, Widerspruch, Übertragung von personenbezogenen Daten
Hinweis auf Recht auf Beschwerde bei einer Aufsichtsbehörde
Allgemeine Hinweise zu Cookies
Eingesetzte Web Analyse Tools, z.B. Google Analytics
Eingesetzte Social Media Plugins, z.B. Facebook Like-Buttons
Eingesetzte Affiliate Programmen (Partnerprogramme)
Für jede einzelne in der Datenschutzerklärung genannte Datenerhebung sollte auch die anwendbare Rechtsgrundlage genannt werden. Folgende Fragen müssen für jede einzelne Erhebung personenbezogener Daten beantwortet werden.
Welche personenbezogenen Daten werden erhoben?
Warum werden personenbezogene Daten überhaupt erhoben?
Wie werden die erhobenen personenbezogenen Daten verwendet?
Werden die erhobenen personenbezogenen Daten an Dritte weitergegeben?
Welche Maßnahmen zur Sicherheit der Daten werden ergriffen?
Findet ein grenzüberschreitender Datentransfer statt?
Wie muss die Datenschutzerklärung in die Website eingebunden werden?
Egal ob Du eine private oder geschäftliche Website hast, eine Datenschutzerklärung ist immer Pflicht.
§13 TMG (Telemediengesetz) besagt
(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] zu unterrichten. […] Der Inhalt der Unterrichtung muss […] jederzeit abrufbar sein.
Das bedeutet, die Datenschutzerklärung muss von jeder Unterseite der Website mit einem Klick direkt abrufbar sein. Das gilt auch für mobile Endgeräte wie Smartphones und Tablets.
Achtung: Ein Link im Impressum reicht nicht aus. Die Datenschutzerklärung und das Impressum sollten klar voneinander getrennt sein.
Die Positionierung des Links zur Datenschutzerklärung ist nicht eindeutig bestimmt. Viele Website-Betreiber platzieren den Link zur Datenschutzerklärung im Footer (Fußzeile) ihrer Webseiten. Ob dies dem Gebot »zu Beginn der Nutzung« entspricht, ist allings nicht klar.
Ich empfehle:
Platziere die Links Impressum und Datenschutz bzw. Datenschutzerklärung in der Navigation deiner Website.
Der Link zum Impressum muss nicht auf jeder Unterseite eingebunden werden. Gemäß einem BGH-Urteil sind dem Besucher einer Website bis zu 2 Klicks zumutbar.
Die beiden Seiten Impressum und Datenschutz können zu einer Seite zusammengefasst werden. In diesem Fall muss der Link aber Impressum & Datenschutz bzw. Impressum & Datenschutzerklärung sein.