Jeder Website-Betreiber hat für seine Nutzer eine Datenschutzerklärung bereitzustellen. Ab dem 25. Mai 2018 werden sich die rechtlichen Anforderungen aufgrund der EU-Datenschutz-Grundverordnung (DSGVO) ändern. Wir zeigen Ihnen, wie Sie Ihre Online-Datenschutzerklärung anpassen können.

Viele Website-Betreiber lassen die Datenschutzerklärung von simplen Generatoren im Internet erstellen. Dabei kann es leicht dazu kommen, dass die Erklärung nicht vollständig oder sogar fehlerhaft ist. In solchen Fällen drohen Abmahnungen und Bußgelder – letztere können hohe Summen erreichen, auch wenn das maximale Bußgeld von 20 Millionen Euro oder 4% des gesamten weltweiten Umsatzes des Vorjahres zumindest in diesen Fällen wohl nicht verhängt werden kann.

Sie sollten deshalb Ihre Datenschutzerklärung stets aktuell halten. Größere Anpassungen sind aufgrund neuer Regelungen auf europäischer Ebene erforderlich. Nutzen Sie diesen Beitrag, um Ihre Datenschutzerklärung fit für die Datenschutz-Grundverordnung zu machen.

Gegenstand der Datenschutzerklärung bestimmen
Sie müssen den Nutzer über alle Vorgänge aufklären, bei denen Sie dessen personenbezogene Daten verarbeiten. Personenbezogen sind alle Angaben, die Rückschlüsse auf eine konkrete Person erlauben. Das ist beim Namen oder der E-Mail-Adresse in der Regel der Fall. Aber auch die IP-Adresse ist ein personenbezogenes Datum, über dessen Verarbeitung aufzuklären ist. Nutzen Sie hierzu die Fragen, die wir in einem früheren Beitrag schon einmal aufgezählt haben.

Mindestanforderungen an eine Datenschutzerklärung
Jede Datenschutzerklärung muss den Namen und die Kontaktdaten (Anschrift und E-Mail-Adresse) des Website-Betreibers enthalten. Sofern Sie über einen betrieblichen Datenschutzbeauftragten verfügen, müssen dessen Kontaktdaten (Anschrift und/oder E-Mail-Adresse) aufgeführt werden. Der Name des Datenschutzbeauftragten muss aber nicht genannt werden. Diese Informationen bauen Sie am besten am Anfang oder am Ende der Datenschutzerklärung ein.

Für jedes Tool auf Ihrer Website, das personenbezogene Daten verarbeitet, müssen separat folgende Angaben aufgeführt werden:

  • Zwecke der Datenverarbeitung und
  • Rechtsgrundlage der Datenverarbeitung

Übermittlung von Daten
Sofern Sie die Daten an andere Stellen übermitteln, müssen diese entweder namentlich aufgelistet werden oder zumindest die Kategorien von Empfängern, zu denen diese Stellen gehören, genannt werden. Dies schließt auch Auftragsverarbeiter ein.
Wenn die Daten ins EU-Ausland (z.B. USA) übermittelt werden, muss die Datenschutzerklärung hierüber informieren. Es sind weitere Angaben erforderlich, ggf. zur Rechtsgrundlage der Übermittlung.

Verarbeitung aufgrund einer Interessenabwägung
Es ist nach der DS-GVO zulässig, Daten ohne Einwilligung des Betroffenen zu verarbeiten, wenn dies zur Wahrung berechtigter Interessen des Website-Betreibers erforderlich ist und die Interessen und Rechte des Nutzers diese Interessen nicht überwiegen. Für Website-Betreiber könnte dies bei der Nutzung bestimmter Online-Tools relevant werden. Es müssen dann die berechtigten Interessen des Website-Betreibers in der Datenschutzerklärung aufgeführt werden.

Situationsabhängige Informationen
Die bisher aufgeführten Informationen sind stets zu nennen, soweit sie einschlägig sind. Es kann notwendig sein, weitere Informationen zu geben, um eine faire und transparente Verarbeitung zu gewährleisten. Wann dies der Fall ist, legt die DSGVO leider nicht fest. Deshalb sollten die folgenden Informationen im Zweifel immer in der Datenschutzerklärung aufgeführt werden:

  • Dauer der Speicherung der personenbezogenen Daten,
  • Recht des Nutzers auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Widerrufsrecht,
  • Recht des Nutzers auf Widerruf einer erklärten Einwilligung,
  • Beschwerderecht bei einer Aufsichtsbehörde,
  • Bestehen einer automatisierten Entscheidungsfindung und
  • die Umstände der Bereitstellung der Daten, unter anderem ob diese gesetzlich oder vertraglich vorgeschrieben ist

Welche formalen Anforderungen sind zu beachten?
Datenschutzerklärungen sollten von jeder Seite der Website aus abrufbar sein. Dazu platzieren Sie am Besten im Footer der Website einen Link auf die Unterseite mit der Datenschutzerklärung, den Sie mit „Datenschutz“ titulieren.

Die Texte der Datenschutzerklärung müssen so formuliert sein, dass alle relevanten Informationen mitgeteilt werden und gleichzeitig die Formulierungen leicht verständlich sind. Dies stellt eine Herausforderung an die Formulierungskunst der Website-Betreiber dar. Wer hierzu rechtliche Unterstützung benötigt, kann gerne die Leistungen unserer Kanzlei in Anspruch nehmen.

Einwilligungserklärungen innerhalb der Datenschutzerklärung
Sofern eine Einwilligung erforderlich ist, darf diese nicht innerhalb der Datenschutzerklärung versteckt werden. Sie wird ansonsten in der Regel nicht wirksam sein. Wenn Sie dennoch die Daten verarbeiten, drohen Schadenersatzforderungen, Abmahnungen und Bußgelder.

Muss ich weiterhin über Cookies aufklären?
Der Nutzer muss auch ab Geltung der DSGVO über den Einsatz von Cookies informiert werden sowie die Möglichkeit des Opt Out haben. Diese Informationen können ebenfalls in der Datenschutzerklärung untergebracht werden.

Die rechtlichen Anforderungen an Cookies werden sich voraussichtlich bald ändern, wenn die sogenannte ePrivacy-Verordnung verabschiedet werden sollte. Die aktuellen Entwicklungen hierzu müssen unbedingt im Auge behalten werden. Wir werden darüber in unserem Blog berichten. Abonnieren Sie gerne auch unseren Newsletter, um keine Neuigkeiten zu verpassen.


Verfasser: Dr. Malte Kröger (juristischer Mitarbeiter der Datenschutzkanzlei)