Datenschutzerklärungen für Websites

Jeder Website-Betreiber ist dazu verpflichtet, seine Nutzer über Datenverarbeitungen zu informieren. Dieser Informationspflicht kann regelmäßig durch Bereitstellung einer Datenschutzerklärung nachgekommen werden. Wir zeigen Ihnen, wie Sie alle Voraussetzungen schaffen, um eine Datenschutzerklärung gemäß den Anforderungen EU-Datenschutz-Grundverordnung (DSGVO) zu erstellen.

Inventur der Website

Nutzer sind über alle Vorgänge zu informieren, bei denen Sie personenbezogene Daten verarbeiten. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Im Online-Kontext ist dabei nicht nur an Namen, E-Mail-Adressen oder Zahlungs- und Kaufinformationen zu denken, sondern etwa auch an Informationen, die Rückschlüsse auf ein bestimmtes Nutzungsverhalten zulassen, wie sie typischerweise in einem Cookie gespeichert sind. Nicht zuletzt ist auch die einem Nutzer von einem Provider zugewiesene IP-Adresse ein personenbezogenes Datum. Um eine vollständige Datenschutzerklärung zu erstellen, bietet es sich an, zunächst alle relevanten Datenverarbeitungsvorgänge auf Ihrer Website zu identifizieren:

l

Datenverarbeitung durch Nutzereingaben

Denken Sie hierbei zum Beispiel an ein Kontakt-Formular, einen Web-Shop, Registrierungen für einen geschlossenen Bereich, ein Forum, ein Chat-Formular, eine Newsletter-Anmeldung oder eine Unterseite für Bewerbungen.

Datenerhebung durch Server

Jeder Server verarbeitet regelmäßig technische Daten der Website-Besucher (z.B. die IP-Adresse). Finde Sie heraus, welche Informationen standardmäßig erhoben werden und nach welcher Dauer eine Löschung dieser Daten erfolgt.

Tracking

Welche Tools setzen Sie ein, um das Nutzerverhalten zu analysieren oder zu tracken? Hierzu zählen zum Beispiel Anbieter wie Google Analytics oder Matomo (vormals Piwik).

Cookies

In welchem Umfang setzen Sie Cookies ein und was ist der Zweck dieser Cookies? So gibt es beispielsweise Cookies, welche die Inhalte eines Warenkorbs speichern. Andere Cookies werden für die personalisierte Anzeige von Inhalten (z.B. Spracheinstellungen) benötigt.

Inhalte Dritter

Welche Inhalte von Dritten sind eingebunden? Hierzu zählen beispielsweise Inhalte aus Videoplattformen wie YouTube oder vimeo oder auch Kartenansichten für Google Maps. Auch die Einbindung externer Schriften wie Adobe Typekit oder Google Fonts fällt hierunter.

Plugnis sozialer Netzwerke

Wenn Sie Inhalte aus sozialen Medien wie Facebook, Twitter oder Instagram über ein Plugin einbinden, müssen Sie auch dies in Ihre Datenschutzerklärung mit aufnehmen. Auch die Möglichkeit sich über diese Netzwerke zu registrieren (z.B. Facebook Connect), ist eine Datenerhebung Ihrer Website, über die Sie informieren müssen.

Weitere externe Dienstleister

Bitte prüfen Sie dabei außerdem für jeden Verarbeitungsvorgang, welche externen Stellen personenbezogene Daten empfangen und berücksichtigen Sie auch Auftragsverarbeiter. In diesem Zusammenhang sind etwa Hosting-Anbieter, Zahlungs- und Versanddienstleister, aber auch Anbieter von Content Delivery Netzwerken relevant.

Erstellung der Datenschutzerklärung

1. Entwerfen Sie eine Einleitung, um den Nutzern die Grundsätze der Datenverarbeitungen durch Sie darzulegen.

2. Geben Sie den Namen und die Kontaktdaten Ihres Unternehmens und die Kontaktdaten Ihres Datenschutzbeauftragten an.

3. Machen Sie allgemeine Angaben zur Datenverarbeitung, Rechtsgrundlagen und Speicherdauer.

4. Stellen Sie Informationen zur Datenspeicherung Ihres Website-Servers zur Verfügung.

5. Machen Sie Angaben zu den von Ihnen konkret durchgeführten Datenverarbeitungen (inklusive Zweck und Rechtsgrundlage).

6. Informieren Sie die Nutzer über ihre Rechte (Auskunft, Berichtigung, Löschung, Widerspruch, Widerruf einer Einwilligung) und ihr Beschwerderecht bei einer Aufsichtsbehörde.

Muster mit Hinweisen

1. Einleitungstext

Die Nutzung dieser Website kann mit der Verarbeitung von personenbezogenen Daten verbunden sein. Damit diese Verarbeitungen für Sie nachvollziehbar sind, möchten wir Ihnen mit den folgenden Informationen einen Überblick zu diesen Verarbeitungen verschaffen. Um eine faire Verarbeitung zu gewährleisten, möchten wir Sie außerdem über Ihre Rechte nach der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) informieren.

Erklärung: Eine Einleitung ist nach dem Gesetz nicht zwingend erforderlich, erleichtert dem Leser aber den Einstieg in die Lektüre der nachfolgenden Erklärung.

2. Namen und Kontaktdaten des Verantwortlichen und Datenschutzbeaufgtragten

Wenn Sie Fragen oder Anregungen zu diesen Informationen haben oder sich wegen der Geltendmachung Ihrer Rechte an uns wenden möchten, richten Sie Ihre Anfrage bitte an

XY GmbH
Adresse
E-Mail-Adresse
Telefonnummer

Unser Datenschutzbeauftragter ist unter folgenden Kontaktdaten zu erreichen: datenschutzbeauftragter@xygmbh.de

Erklärung: Die Pflicht zur Angabe der Kontaktdaten ergibt sich aus Art. 13 Abs. 1 Buchst. a) DSGVO. Wir empfehlen neben dem Namen der Gesellschaft, die Angabe der Adresse, einer E-Mail-Adresse und einer Telefonnummer. Sofern ein Datenschutzbeauftragter benannt wurde, sind dessen Kontaktdaten anzugeben. Hier genügt aus unserer Sicht die Angabe einer eigenständigen E-Mail-Adresse.

3. Allgemeine Angaben zur Datenverarbeitung, Rechtsgrundlagen und Speicherdauer

Allgemeine Angaben zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unter Beachtung der einschlägigen Datenschutzvorschriften, insbesondere der DSGVO und des BDSG. Eine Datenverarbeitung durch uns findet nur auf der Grundlage einer gesetzlichen Erlaubnis statt. Bei der Nutzung dieser Website verarbeiten wir personenbezogene Daten nur mit Ihrer Einwilligung (Art. 6 Abs. 1 Buchst. a) DSGVO), zur Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder auf Ihre Anfrage zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 Buchst. b) DSGVO), zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c) DSGVO) oder wenn die Verarbeitung zu Wahrung unser berechtigten Interessen oder den berechtigten Interessen eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 Buchst. f) DSGVO).

Dauer der Speicherung

Sofern sich aus den folgenden Hinweisen nichts anderes ergibt, speichern wir die Daten nur solange, wie es zur Erreichung des Verarbeitungszwecks oder für die Erfüllung unserer vertraglichen oder gesetzlichen Pflichten erforderlich ist. Solche gesetzlichen Aufbewahrungspflichten können sich insbesondere aus handels- oder steuerrechtlichen Vorschriften ergeben.

Erklärung: Die Angabe allgemeiner Kriterien der Datenverarbeitung inklusive Rechtsgrundlagen dient als Auffangmöglichkeit, sofern konkrete Beschreibungen und Rechtsgrundlagen zu einzelnen Datenverarbeitungen fehlen. Die Pflicht zur Angabe dieser Informationen ergibt sich aus Art. 13 Abs. 1 Buchst. c) DSGVO.

4. Automatisierte Datenverarbeitung des Servers

Verarbeitung von Server-Log-Files

Bei der rein informativen Nutzung unserer Website werden zunächst automatisiert (also nicht über eine Registrierung) allgemeine Informationen gespeichert, die Ihr Browser an unseren Server übermittelt. Hierzu zählen standardmäßig: Browsertyp/ -version, verwendetes Betriebssystem, aufgerufene Seite, die zuvor besuchte Seite (Referrer URL), IP-Adresse, Datum und Uhrzeit der Serveranfrage und HTTP-Statuscode. Die Verarbeitung erfolgt zur Wahrung unserer berechtigten Interessen und beruht auf der Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f) DSGVO. Diese Verarbeitung dient der technischen Verwaltung und der Sicherheit der Website. Die gespeicherten Daten werden gelöscht, wenn nicht aufgrund konkreter Anhaltspunkte ein berechtigter Verdacht auf eine rechtswidrige Nutzung besteht und eine weitere Prüfung und Verarbeitung der Informationen aus diesem Grund erforderlich ist.

Erklärung: Auch die Speicherung von Informationen in Server-Log-Files fällt unter die Informationspflicht des Art. 13 Abs. 1 Buchst. c) DSGVO, da die Kommunikation zwischen Website und Server nur durch die (kurzzeitige) Speicherung einer personenbezogenen IP-Adresse möglich ist. Die Speicherdauer dieser Informationen sollte nach unserer Empfehlung sieben Tage nicht überschreiten.

5. Datenverarbeitung durch Nutzerangaben

Informationserhebungen durch Kontaktformulare, Registrierungen, Bewerbungen, Anmeldungen zu Newslettern, Bestellung von Waren, Bezahlsysteme etc.

Erklärung: Hier sind alle Erhebungs- und Verarbeitungsprozesse Ihrer Website aufzunehmen, in den personenbezogene Daten im Spiel sind. Wichtig ist, dass neben der konkreten Beschreibung des Zwecks auch eine Rechtsgrundlage für die Datenerhebung und -nutzung mitgeteilt wird. Die möglichen Rechtsgrundlagen finden sich in Art. 6 DSGVO.

6. Cookies, Tracking, Plugins, externe Inhalte

Cookies
Wir verwenden auf unserer Website Cookies. Bei Cookies handelt es sich um kleine Textdateien, die durch Ihren Browser gespeichert werden, wenn Sie eine Website besuchen. Hierdurch wird der verwendete Browser gekennzeichnet und kann durch unseren Webserver wiedererkannt werden. Dabei verwenden wir insbesondere dauerhafte Cookies („Persistent Cookies“) für die Analyse unserer Website. Diese Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann. Sofern es durch diese Verwendung von Cookies zu einer Verarbeitung personenbezogener Daten kommt, beruht diese auf der Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f) DSGVO. Diese Verarbeitung dient unserem berechtigten Interesse, unsere Website nutzerfreundlicher, effektiver sowie sicherer zu machen. Sie können die Cookies in den Sicherheitseinstellungen Ihres Browsers jederzeit löschen. Sie können der Verwendung von Cookies durch Ihre Browsereinstellungen grundsätzlich widersprechen.

Anbieter Website-Tracking
Social Plugins
Inhalte von Drittanbietern
[…]

Erklärung: Dieser Bereich kann je nach Umfang der Website sehr komplex ausfallen. Neben einem allgemeinen Hinweis zur Verwendung von Cookies, sind alle externen Anbieter für Tracking und Targeting, aber auch die Einbindung externer Inhalte aus Social-Media Profilen oder Kartendiensten detailliert zu beschreiben. Dazu gehört auch hier die Angabe der Rechtsgrundlage. Im Fall von Tracking und Targeting vertreten die deutschen Aufsichtsbehörden die Auffassung, dass diese Form der Datenverarbeitung nur mit Einwilligung der Nutzer (Art. 6 Abs. 1 Buchst. a) DSGVO) möglich ist. Aus unserer Sicht lässt die DSGVO für diese Verarbeitungsprozesse aber auch eine Interessenabwägung im Sinne von Art. 6 Abs. 1 Buchst. f) DSGVO zu. 

Neben der Angabe des Zwecks und der Rechtsgrundlage müssen Website-Betreiber auch über die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten gemäß Art. 13 Abs. 1 Buchst. e) DSGVO informieren. Beim Drittlandstranfer von Daten (z.B. relevant bei US-Diensten), muss zudem auf die geeigneten oder angemessenen Garantien des Datentransfers (z.B. Privacy Shield Zertifizierung oder EU-Standardvertragsklauseln) gemäß Art. 13 Abs. 1 Buchst. f) DSGVO informiert werden.

7. Rechte der Betroffenen, Beschwerderecht

Ihre Rechte

Als betroffene Person haben Sie das Recht, uns gegenüber Ihre Betroffenenrechte geltend zu machen. Dabei haben Sie insbesondere die folgenden Rechte:

  • Sie haben nach Maßgabe des Art.15 DSGVO und § 34 BDSG das Recht, Auskunft darüber zu verlangen, ob und gegebenenfalls in welchen Umfang wir personenbezogene Daten zu Ihrer Person verarbeiten oder nicht.
  • Sie haben das Recht, nach Maßgabe des Art. 16 DSGVO von uns die Berichtigung Ihrer Daten zu verlangen.
  • Sie haben das Recht, nach Maßgabe des Art. 17 DSGVO und § 35 BDSG von uns die Löschung Ihrer personenbezogenen Daten zu verlangen.
  • Sie haben das Recht, nach Maßgabe des Art. 18 DSGVO die Verarbeitung Ihrer personenbezogenen Daten einschränken zu lassen.
  • Sie haben das Recht, nach Maßgabe des Art. 20 DSGVO die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zu übermitteln.
  • Sie haben nach Maßgabe des Art. 21 Abs. 1 DSGVO das Recht, gegen jede Verarbeitung, die auf der Rechtsgrundlage des Art. 6 Abs. 1 Buchst. e) oder f) DSGVO beruht, Widerspruch einzulegen. Sofern durch uns personenbezogene Daten über Sie zum Zweck der Direktwerbung verarbeitet werden, können Sie gegen diese Verarbeitung gem. Art. 21 Abs. 2 und Abs. 3 DSGVO Widerspruch einlegen.

Sofern Sie uns eine gesonderte Einwilligung in die Datenverarbeitung erteilt haben, können Sie diese Einwilligung nach Maßgabe des Art. 7 Abs. 3 DSGVO jederzeit widerrufen. Durch einen solchen Widerruf wird die Rechtmäßigkeit der Verarbeitung, die bis zum Widerruf aufgrund der Einwilligung erfolgt ist, nicht berührt.

Beschwerde bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass eine Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Bestimmungen der DSGVO verstößt, haben Sie nach Maßgabe des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Erklärung: Es ist darüber zu informieren, welche Rechte den Nutzern Ihrer Website nach der DSGVO zustehen. Hier genügt aus unserer Sicht eine Zusammenfassung der in Art. 13 Abs. 2 Buchst. b) bis f) DSGVO.

Folgendes sollten Sie noch beachten:

Rechtsgrundlagen prüfen
Es ist stets sicherzustellen, dass für alle Datenverarbeitungsvorgänge eine Rechtsgrundlage vorliegt. Bitte beachten Sie, dass Tracking- und Targeting-Cookies nach Auffassung deutscher Aufsichtsbehörden nur mit Einwilligung der betroffenen Person erlaubt sind. Weitere Informationen finden Sie in unserem Blog-Beitrag.

Einwilligungserklärungen
Bitte beachten Sie, dass Sie eine Einwilligung regelmäßig nicht wirksam im Rahmen einer Datenschutzerklärung einholen können. Hierfür ist in der Regel ein gesondertes Formular notwendig.

Erreichbarkeit
Eine Datenschutzerklärung sollte von jeder Unterseite einer Website aus abrufbar sein. Dazu platzieren Sie am besten im Footer der Website einen Link auf die Unterseite mit der Datenschutzerklärung, den Sie mit „Datenschutz“ oder ähnlich titulieren.

Aktualität
Denken Sie bei jeder Einführung eines neuen Tools oder einer neuen Verarbeitungstätigkeit daran, Ihre Datenschutzerklärung entsprechend zu ergänzen.

Falls Sie Hilfe bei der Erstellung Ihrer Datenschutzerklärung benötigen, unterstützen wir Sie gerne mit unserem Team. Melden Sie sich dazu bitte über unser Kontaktformular bei uns.