Leitfaden

So erstellen Sie eine Datenschutzerklärung

Anleitung für eine Website

whistledesk hinweisgebersystem

Why it matters

Jeder Website-Betreiber ist gemäß Art. 13 DSGVO dazu verpflichtet, seine Nutzer:innen über die Datenverarbeitungen der Website zu informieren. Fehler kommen schnell ans Licht, weil die Datenschutzhinweise für jeden sichtbar sind. Wir zeigen Ihnen, wie Sie Schritt für Schritt Ihre Datenschutzhinweise für Ihre Website erstellen.

Vorbereitung: Inventur der Datenverarbeitung

Nutzer sind über alle Vorgänge zu informieren, bei denen Sie personenbezogene Daten verarbeiten. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Im Online-Kontext ist dabei nicht nur an Namen, E-Mail-Adressen oder Zahlungs- und Kaufinformationen zu denken, sondern etwa auch an Informationen, die Rückschlüsse auf ein bestimmtes Nutzungsverhalten zulassen, wie sie typischerweise in einem Cookie gespeichert sind. Nicht zuletzt ist auch die einem Nutzer von einem Provider zugewiesene IP-Adresse ein personenbezogenes Datum. Um eine vollständige Datenschutzerklärung zu erstellen, bietet es sich an, zunächst alle relevanten Datenverarbeitungsvorgänge auf Ihrer Website zu identifizieren:

Zettel und Stift

1. Datenverarbeitung durch Nutzereingaben

Denken Sie hierbei zum Beispiel an ein Kontakt-Formular, einen Web-Shop, Registrierungen für einen geschlossenen Bereich, ein Forum, ein Chat-Formular, eine Newsletter-Anmeldung oder eine Unterseite für Bewerbungen.aus. Der Antragssteller muss daher jedenfalls über den Zweck der Verarbeitung, deren Rechtsgrundlage und die Speicherdauer der Verarbeitung informiert werden. Die Informationen können zweckdienlich durch eine Eingangsbestätigung mitgeteilt werden. Sofern die Hinweise in allgemeinen umfassenden Datenschutzhinweisen enthalten sind, kann auf diese verwiesen werden.

Datenerhebung

2. Datenerhebung durch Server

Jeder Server verarbeitet regelmäßig technische Daten der Website-Besucher (z.B. die IP-Adresse). Finden Sie heraus, welche Informationen standardmäßig erhoben werden und nach welcher Dauer eine Löschung dieser Daten erfolgt.

Symbol Standort

3. Trackingdienste

Welche Tools setzen Sie ein, um das Nutzerverhalten zu analysieren oder zu tracken? Hierzu zählen zum Beispiel Anbieter wie Google Analytics oder Matomo (vormals Piwik).

Holen Sie die Datenschutzkanzlei an Bord

R

Rechtsberatung für Daten, Tech und Marketing

R

Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten

R

Benennung zum externen Datenschutzbeauftragten

R

Echte Lösungen statt nerviger Hindernisse

Cookie

4. Cookies

In welchem Umfang setzen Sie Cookies ein und was ist der Zweck dieser Cookies? So gibt es beispielsweise Cookies, welche die Inhalte eines Warenkorbs speichern. Andere Cookies werden für die personalisierte Anzeige von Inhalten (z.B. Spracheinstellungen) benötigt.

Video Player

5. Drittinhalte

Welche Inhalte von Dritten sind eingebunden? Hierzu zählen beispielsweise Inhalte aus Videoplattformen wie YouTube oder vimeo oder auch Kartenansichten für Google Maps. Auch die Einbindung externer Schriften wie Adobe Typekit oder Google Fonts fällt hierunter.

Netzwerk

6. Plugins (Social Media)

Wenn Sie Inhalte aus sozialen Medien wie Facebook, Twitter oder Instagram über ein Plugin einbinden, müssen Sie auch dies in Ihre Datenschutzerklärung mit aufnehmen. Auch die Möglichkeit sich über diese Netzwerke zu registrieren (z.B. Facebook Connect), ist eine Datenerhebung Ihrer Website, über die Sie informieren müssen.

Blockchain

7. Weitere externe Dienstleister

Bitte prüfen Sie dabei außerdem für jeden Verarbeitungsvorgang, welche externen Stellen personenbezogene Daten empfangen und berücksichtigen Sie auch Auftragsverarbeiter. In diesem Zusammenhang sind etwa Hosting-Anbieter, Zahlungs- und Versanddienstleister, aber auch Anbieter von Content Delivery Netzwerken relevant.

Erstellung der Datenschutzerklärung

  1. Entwerfen Sie eine Einleitung, um den Nutzern die Grundsätze der Datenverarbeitungen durch Sie darzulegen.
  2. Geben Sie den Namen und die Kontaktdaten Ihres Unternehmens und die Kontaktdaten Ihres Datenschutzbeauftragten an.
  3. Machen Sie allgemeine Angaben zur Datenverarbeitung, Rechtsgrundlagen und Speicherdauer.
  4. Stellen Sie Informationen zur Datenspeicherung Ihres Website-Servers zur Verfügung.
  5. Machen Sie Angaben zu den von Ihnen konkret durchgeführten Datenverarbeitungen (inklusive Zweck und Rechtsgrundlage).
  6. Informieren Sie die Nutzer über ihre Rechte (Auskunft, Berichtigung, Löschung, Widerspruch, Widerruf einer Einwilligung) und ihr Beschwerderecht bei einer Aufsichtsbehörde.

Muster für Ihre Datenschutzerklärung

(ohne Gewährleistung)

Einleitungstext

Die Nutzung dieser Website kann mit der Verarbeitung von personenbezogenen Daten verbunden sein. Damit diese Verarbeitungen für Sie nachvollziehbar sind, möchten wir Ihnen mit den folgenden Informationen einen Überblick zu diesen Verarbeitungen verschaffen. Um eine faire Verarbeitung zu gewährleisten, möchten wir Sie außerdem über Ihre Rechte nach der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) informieren.

Erklärung: Eine Einleitung ist nach dem Gesetz nicht zwingend erforderlich, erleichtert dem Leser aber den Einstieg in die Lektüre der nachfolgenden Erklärung.

Namen und Kontaktdaten des Verantwortlichen und Datenschutzbeaufgtragten

Wenn Sie Fragen oder Anregungen zu diesen Informationen haben oder sich wegen der Geltendmachung Ihrer Rechte an uns wenden möchten, richten Sie Ihre Anfrage bitte an

XY GmbH
Adresse
E-Mail-Adresse
Telefonnummer

Unser Datenschutzbeauftragter ist unter folgenden Kontaktdaten zu erreichen:

datenschutzbeauftragter@xygmbh.de

Erklärung: Die Pflicht zur Angabe der Kontaktdaten ergibt sich aus Art. 13 Abs. 1 Buchst. a) DSGVO. Wir empfehlen neben dem Namen der Gesellschaft, die Angabe der Adresse, einer E-Mail-Adresse und einer Telefonnummer. Sofern ein Datenschutzbeauftragter benannt wurde, sind dessen Kontaktdaten anzugeben. Hier genügt aus unserer Sicht die Angabe einer eigenständigen E-Mail-Adresse.

Allgemeine Angaben zur Datenverarbeitung, Rechtsgrundlagen und Speicherdauer

Allgemeine Angaben zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unter Beachtung der einschlägigen Datenschutzvorschriften, insbesondere der DSGVO und des BDSG. Eine Datenverarbeitung durch uns findet nur auf der Grundlage einer gesetzlichen Erlaubnis statt. Bei der Nutzung dieser Website verarbeiten wir personenbezogene Daten nur mit Ihrer Einwilligung (Art. 6 Abs. 1 Buchst. a) DSGVO), zur Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder auf Ihre Anfrage zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 Buchst. b) DSGVO), zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c) DSGVO) oder wenn die Verarbeitung zu Wahrung unser berechtigten Interessen oder den berechtigten Interessen eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 Buchst. f) DSGVO).

Dauer der Speicherung

Sofern sich aus den folgenden Hinweisen nichts anderes ergibt, speichern wir die Daten nur solange, wie es zur Erreichung des Verarbeitungszwecks oder für die Erfüllung unserer vertraglichen oder gesetzlichen Pflichten erforderlich ist. Solche gesetzlichen Aufbewahrungspflichten können sich insbesondere aus handels- oder steuerrechtlichen Vorschriften ergeben.

Erklärung: Die Angabe allgemeiner Kriterien der Datenverarbeitung inklusive Rechtsgrundlagen dient als Auffangmöglichkeit, sofern konkrete Beschreibungen und Rechtsgrundlagen zu einzelnen Datenverarbeitungen fehlen. Die Pflicht zur Angabe dieser Informationen ergibt sich aus Art. 13 Abs. 1 Buchst. c) DSGVO.

Automatisierte Datenverarbeitung des Servers

Verarbeitung von Server-Log-Files

Bei der rein informativen Nutzung unserer Website werden zunächst automatisiert (also nicht über eine Registrierung) allgemeine Informationen gespeichert, die Ihr Browser an unseren Server übermittelt. Hierzu zählen standardmäßig: Browsertyp/ -version, verwendetes Betriebssystem, aufgerufene Seite, die zuvor besuchte Seite (Referrer URL), IP-Adresse, Datum und Uhrzeit der Serveranfrage und HTTP-Statuscode. Die Verarbeitung erfolgt zur Wahrung unserer berechtigten Interessen und beruht auf der Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f) DSGVO. Diese Verarbeitung dient der technischen Verwaltung und der Sicherheit der Website. Die gespeicherten Daten werden gelöscht, wenn nicht aufgrund konkreter Anhaltspunkte ein berechtigter Verdacht auf eine rechtswidrige Nutzung besteht und eine weitere Prüfung und Verarbeitung der Informationen aus diesem Grund erforderlich ist.

Erklärung: Auch die Speicherung von Informationen in Server-Log-Files fällt unter die Informationspflicht des Art. 13 Abs. 1 Buchst. c) DSGVO, da die Kommunikation zwischen Website und Server nur durch die (kurzzeitige) Speicherung einer personenbezogenen IP-Adresse möglich ist. Die Speicherdauer dieser Informationen sollte nach unserer Empfehlung sieben Tage nicht überschreiten.

Datenverarbeitung durch Nutzerangaben

Informationserhebungen durch Kontaktformulare, Registrierungen, Bewerbungen, Anmeldungen zu Newslettern, Bestellung von Waren, Bezahlsysteme etc.

Erklärung: Hier sind alle Erhebungs- und Verarbeitungsprozesse Ihrer Website aufzunehmen, in den personenbezogene Daten im Spiel sind. Wichtig ist, dass neben der konkreten Beschreibung des Zwecks auch eine Rechtsgrundlage für die Datenerhebung und -nutzung mitgeteilt wird. Die möglichen Rechtsgrundlagen finden sich in Art. 6 DSGVO.

Rechte der Betroffenen, Beschwerderecht

Ihre Rechte

Als betroffene Person haben Sie das Recht, uns gegenüber Ihre Betroffenenrechte geltend zu machen. Dabei haben Sie insbesondere die folgenden Rechte:

  • Sie haben nach Maßgabe des Art.15 DSGVO und § 34 BDSG das Recht, Auskunft darüber zu verlangen, ob und gegebenenfalls in welchen Umfang wir personenbezogene Daten zu Ihrer Person verarbeiten oder nicht.
  • Sie haben das Recht, nach Maßgabe des Art. 16 DSGVO von uns die Berichtigung Ihrer Daten zu verlangen.
  • Sie haben das Recht, nach Maßgabe des Art. 17 DSGVO und § 35 BDSG von uns die Löschung Ihrer personenbezogenen Daten zu verlangen.
  • Sie haben das Recht, nach Maßgabe des Art. 18 DSGVO die Verarbeitung Ihrer personenbezogenen Daten einschränken zu lassen.
  • Sie haben das Recht, nach Maßgabe des Art. 20 DSGVO die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zu übermitteln.
  • Sie haben nach Maßgabe des Art. 21 Abs. 1 DSGVO das Recht, gegen jede Verarbeitung, die auf der Rechtsgrundlage des Art. 6 Abs. 1 Buchst. e) oder f) DSGVO beruht, Widerspruch einzulegen. Sofern durch uns personenbezogene Daten über Sie zum Zweck der Direktwerbung verarbeitet werden, können Sie gegen diese Verarbeitung gem. Art. 21 Abs. 2 und Abs. 3 DSGVO Widerspruch einlegen.

Sofern Sie uns eine gesonderte Einwilligung in die Datenverarbeitung erteilt haben, können Sie diese Einwilligung nach Maßgabe des Art. 7 Abs. 3 DSGVO jederzeit widerrufen. Durch einen solchen Widerruf wird die Rechtmäßigkeit der Verarbeitung, die bis zum Widerruf aufgrund der Einwilligung erfolgt ist, nicht berührt.

Beschwerde bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass eine Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Bestimmungen der DSGVO verstößt, haben Sie nach Maßgabe des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Erklärung: Es ist darüber zu informieren, welche Rechte den Nutzern Ihrer Website nach der DSGVO zustehen. Hier genügt aus unserer Sicht eine Zusammenfassung der in Art. 13 Abs. 2 Buchst. b) bis f) DSGVO genannten Rechte.

Wenn Sie für Ihre Website, eine App oder z.B. Ihre Beschäftigten Datenschutzhinweisen benötigen, beraten wir Sie gerne.

Holen Sie die Datenschutzkanzlei an Bord

R

Rechtsberatung für Daten, Tech und Marketing

R

Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten

R

Benennung zum externen Datenschutzbeauftragten

R

Echte Lösungen statt nerviger Hindernisse