| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

Datenschutzerklärung So wird Ihre Datenschutzerklärung DSGVO-konform

  • Serie
  • Aus dem Magazin
Bei der Datenschutzerklärung kommt es auf jedes Wort an - sonst drohen mit der DSGVO Bußgelder und Abmahnungen.

Bei der Datenschutzerklärung kommt es auf jedes Wort an - sonst drohen mit der DSGVO Bußgelder und Abmahnungen.© Axel Bueckert/ iStock / Getty Images Plus / Getty Images

Wie muss eine Datenschutzerklärung auf einer Website jetzt aussehen? Wir erklären Ihnen, wie Sie Ihre Datenschutzerklärung jetzt an die Datenschutz-Grundverordnung anpassen müssen.

Die meisten Websites verfügen bereits über eine Datenschutzerklärung. Seit dem 25. Mai ist diese allerdings veraltet. Dann ist die neue EU-Datenschutzverordnung (DSGVO) in Kraft getreten. Die DSGVO stellt höhere Anforderungen an die Informationen über die Datenerhebung und -verarbeitung. So gut wie jede Webseite benötigt dann eine neue Datenschutzerklärung, um Abmahnungen und Bußgelder zu vermeiden.

Wer braucht eine Datenschutzerklärung?

Eine Datenschutzerklärung muss immer dann auf einer Internetseite vorhanden sein, wenn beim Besuch der Seite personenbezogene Daten erfasst und verarbeitet werden. „Das ist bei fast jeder nicht-privaten Webseite der Fall“, sagt Michael Neuber, Justiziar des Bundesverbandes Digitale Wirtschaft (BVDW). So werden in der Regel standardmäßig IP-Adresse und Verweildauer eines Webseitenbesuchers protokolliert – zwei für die Datenschutzerklärung relevante Punkte.

Anzeige

Worüber muss die Datenschutzerklärung informieren?

Im Wesentlichen muss die Datenschutzerklärung wie bisher auch über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten informieren.

Darunter fallen neben der Erfassung von IP-Adressen und Personendaten insbesondere Hinweise zum Umgang mit Social Plugins (zum Beispiel der Facebook „Like“-Button), zum Umgang mit Kontaktformularen, zur Nutzung von Cookies, zum Einsatz von Analyse-Tools (wie etracker oder Google Analytics) und zu Targeting- und Zielgruppenoptimierungstools. „Je mehr Dienste Sie eingebunden haben, desto mehr Informationen müssen Sie geben und desto länger wird die Datenschutzerklärung“, sagt Michael Neuber.

Welche Neuerungen die DSGVO bringt

Die Artikel 12 bis 15 der DSGVO regeln, welche Informationen Websitebetreiber den Nutzern einer Website explizit zur Verfügung stellen müssen. Die Regelungen darin gehen über das hinaus, was bisher erforderlich war. „Sie müssen weit detaillierter auf die Rechte der Betroffenen und deren Wahrnehmungsmöglichkeiten hinweisen“, sagt Neuber.

Folgende Neuerungen müssen Websitebetreiber beachten, seit die DSGVO im Mai Kraft getreten ist:

  1. Die Rechtsgrundlage für die Datenverarbeitung muss immer genannt werden. Die zentrale Rechtsgrundlage, die die Erhebung und Verarbeitung personenbezogener Daten in bestimmten Fällen erlaubt, findet sich in Art. 6 der DSGVO. Schreiben Sie jeweils den Paragraphen mit in die Datenschutzerklärung.
  2. Nutzer müssen sehr umfassend über ihre Rechte informiert werden. Zu den Nutzerrechten zählen:
    • Widerspruchsrecht/ Widerrufsrecht: Beim Widerspruchsrecht gilt die Besonderheit, dass die Information darüber getrennt von den anderen Informationen erfolgen muss. „Das darf im Text nicht untergehen“, sagt Neuber. Man kann diese Information beispielsweise durch Rahmung oder Fettung optisch hervorheben.
    • Recht auf Auskunft: Auf Nachfrage muss man Nutzern eine umfassende Auskunft über die Daten, die man von ihnen gespeichert hat, geben.
    • das Recht, dass ihre Daten berichtigt oder gelöscht werden oder die Verarbeitung eingeschränkt wird.
    • Beschwerderecht bei einer Aufsichtsbehörde: In Bezug auf das Beschwerderecht nach Art. 77 DSGVO ist es ausreichend, dass der Betroffene über das Recht als solches informiert wird. Es ist nicht nötig, die zuständige Datenschutzbehörde zu nennen.
    • Recht auf Datenübertragbarkeit: Dies bedeutet, dass beispielsweise Profile von einem Dienst auf den anderen übertragen werden, das ist vor allem auf soziale Netzwerke gemünzt. Wer darunter noch fällt, sei noch nicht geklärt, sagt Neuber.
  3. Ist ein Datenschutzbeauftragter vorhanden, dann muss man dessen Kontaktdaten angeben. Die Angabe der E-Mail-Adresse reicht.
  4. Der Nutzer muss nicht nur darüber informiert werden, wer die erhobenen persönlichen Daten bekommt, sondern auch darüber, ob die Daten an Server im Nicht-EU-Ausland übermittelt werden. Dabei muss man auch darauf hinweisen, ob für dieses Empfängerland ein Datenschutzabkommen existiert – wie beispielsweise das sogenannte Privacy-Shield-Abkommen für die USA.
  5. Der Nutzer muss erfahren, wie lange seine Daten gespeichert werden. Dabei gilt: Wenn die Daten nicht mehr benötigt werden, muss man sie löschen. Die aus Sicherheitsgründen nötige Nutzer-IP-Adresse sollte beispielsweise nicht länger als 14 Tage lang gespeichert werden. Wenn man keinen festen Zeitraum angeben kann, dann muss man seine Kriterien für die Speicherdauer darstellen.
  6. Der Nutzer muss darüber informiert werden, wenn eine sogenannte automatisierte Entscheidungsfindung besteht. Das kann beispielsweise der Fall sein, wenn die Kreditwürdigkeit einer Person durch vollautomatisierte Datenanalyse geprüft wird.

Verständlichkeit der Datenschutzerklärung ist Pflicht

Die DSGVO schreibt nicht nur vor, worüber in der Datenschutzerklärung informiert werden muss, sondern auch, wie das geschehen muss: präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache. Juristische Fachbegriffe sollten Sie vermeiden oder zumindest erklären. Der Text muss auf Deutsch und je nach Kundenkreis auch in weiteren Sprachen verfasst sein.

Da die Informationspflichten oft sehr umfangreich sind, ist es gar nicht so einfach, die Datenschutzerklärung übersichtlich und verständlich zu gestalten. Es empfiehlt sich, auf Aufzählungen oder Tabellen zurückzugreifen, um dazustellen, welche personenbezogenen Daten zu welchem Zweck und aufgrund welcher Rechtsgrundlage verarbeitet werden. Eventuell bieten sich auch Unterseiten mit ausführlicheren Texten an.

Checkliste: Mindestangaben für die Datenschutzerklärung

Zusammengefasst bedeutet dies: Laut DSGVO muss die Datenschutzerklärung ausnahmslos alle Informationen über die eigene Datenerhebung transparent machen und diese verständlich vermitteln.

Folgende Angaben müssen in jedem Fall in die Datenschutzerklärung:

  • Kontaktdaten des Unternehmens bzw. des Verantwortlichen, der über die Verarbeitung von personenbezogenen Daten entscheidet. Das kann je nach Geschäftsmodell die IT sein, die Personalabteilung, einzelne Sachbearbeiter oder der Geschäftsführer selbst
  • alle Zwecke, zu denen personenbezogene Daten verarbeitet werden
  • Rechtsgrundlagen für die Datenverarbeitung
  • Speicherdauer der Daten
  • Rechte der Betroffenen

Zusätzlich zu diesen Mindestangaben müssen Sie gegebenenfalls noch über folgende Punkte informieren:

  • E-Mail-Adresse des Datenschutzbeauftragten
  • Ihre berechtigte Interessen, die Sie mit der Datenverarbeitung verfolgen
  • Dritte, an die die erhobenen personenbezogenen Daten übermittelt werden
  • Ihre Absicht, die Daten ins Nicht-EU-Ausland zu übertragen. In diesem Fall müssen Sie erwähnen, ob es mit dem Zielland ein Datenschutzabkommen gibt oder nicht
  • Ob der Nutzer verpflichtet ist, seine Daten anzugeben und welche Folgen es hat, wenn er das nicht tun möchte
  • Wenn eine automatisierte Entscheidungsfindung (zum Beispiel eine automatische Bonitätsprüfung im Hintergrund) besteht, müssen Sie das angeben

Was passiert, wenn man keine DSGVO-konforme Datenschutzerklärung hat?

Wer seinen Informationspflichten nicht nachkommt, der muss künftig mit höheren Bußgeldern rechnen. Bisher drohte im Onlinebereich ein Bußgeld von maximal 50.000 Euro. Die Obergrenze steigt mit der DSGVO auf 20 Millionen Euro beziehungsweise 4 Prozent des gesamten weltweit erzielten Jahresumsatzes bei Unternehmen. Weiterhin drohen bei Verstößen unter Umständen Abmahnungen von Konkurrenten oder Abmahnvereinen. Hier lesen Sie, wie wahrscheinlich die in der DSGVO aufgeführten Strafen sind.

Was taugen Vorlagen und Muster für die Datenschutzerklärung?

Es gibt im Netz diverse Konfiguratoren, mit denen Datenschutzerklärungen generiert werden können sowie Musterdatenschutzerklärungen. „Das ist ein Grundgerüst, mehr aber auch nicht“, sagt Michael Neuber. Es gehe bei der Datenschutzerklärung nicht darum, etwas zu kopieren, sondern darum, dass man sich selbst frage, wo man auf seiner Seite Daten verarbeite, und darüber dann zu informieren.

Wenn Sie einen Konfigurator verwenden wollen, schauen Sie genau, wie aktuell die Seite ist und werfen Sie einen Blick ins Impressum, um zu erfahren, wer hinter dem Angebot steckt. Viele Datenschutzerklärungs-Generatoren dienen nämlich vor allem dem Zweck, Daten zu sammeln.

Auf den Seiten der Universität Münster finden Sie eine seriöse Musterdatenschutzerklärung, die Sie nach Ihren Bedürfnissen anpassen können und müssen.

Wo muss die Datenschutzerklärung platziert sein?

Auf vielen Seiten versteckt sich die Datenschutzerklärung im Impressum. Das ist nicht ausreichend, denn die Datenschutzerklärung muss von jeder Unterseite Ihrer Website erreichbar sein. Sie muss auch in verschiedenen Browsern oder auf verschiedenen Endgeräten sichtbar sein. Besser ist es, wenn der Link zur Datenschutzerklärung gut sichtbar auf der Startseite des Webauftritts steht – etwa im Fuß- oder Kopfbereich der Seite. Oft fehlt der Link zur Datenschutzerklärung zum Beispiel in Bestellprozessen bei Onlineshops. Oder er wird von dem Banner verdeckt, das über die Nutzung von Cookies informiert, wenn ein Nutzer die Website betritt. In diesem Fall riskiert man eine Abmahnung.

Was Websitebetreiber durch die DSGVO sonst noch beachten müssen, steht in unserer DSGVO-Checkliste für Websitebetreiber.

Wie Sie am besten reagieren, wenn Ihnen eine Abmahnung ins Haus flattert lesen Sie in unserem Artikel: „Was tun, wenn eine Abmahnung für den Onlineshop ins Haus flattert?“

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
5 Kommentare
  • Jürgen Gabriel 23. Mai 2018 18:00

    Hallo liebes impulse Team,

    können Sie mir einen Tipp geben, wie man eine seriöse Kanzlei (oder anderen verlässlichen Anbieter) findet, die eine rechtssichere Datenschutzerklärung erstellt, ohne übertriebene Forderungen zu stellen?

    Man hat jetzt nun doch den Eindruck, dass die Unsicherheit der Webseitenbetreiber ausgenutzt wird, um überhöhte Rechnungen zu schreiben.

    Vielen Dank für eine kurze Antwort.

    Viele Grüße
    Jürgen Gabriel

    • Dorothée Schmid
      Dorothée Schmid 24. Mai 2018 09:06

      Hallo Herr Gabriel,

      leider haben wir da auch keinen Tipp. Unserer Erfahrung nach sind sämtliche Anwälte, die sich auf diesem Gebiet gut auskennen, bis weit in den Sommer hinein ausgebucht. Dass die Unsicherheit der Websitebetreiber ausgenutzt wird, um überhöhte Rechnungen zu schreiben, glaube ich gerne. Wenn Ihnen die im Artikel unten verlinkte kostenlose Musterdatenschutzerklärung nicht weiterhilft, vielleicht werden Sie hier fündig: https://datenschutz-generator.de/

      Herzliche Grüße aus dem impulse-Team
      Dorothée Schmid

  • Ute Grundig 23. Mai 2018 12:09

    Hat man in diesem Land eigentlich keine anderen Sorgen?

    Wer steckt hinter diesen permanenten Angriffen auf kleine und mittlere Unternehmen, hart arbeitende Selbständige, anständige Gewerbetreibende etc.? Wer will uns fertig machen?

    Gesetze von weltfremden Bürokraten ersonnen unter dem Deckmäntelchen des ach so beliebten Datenschutzes. Auf der einen Seite breiten die Menschen ihr Privatleben und nicht selten ungefragt das anderer auf oft schier unerträgliche Weise im „Netz“ aus, auf der anderen Seite werden „Daten“ (ich bezweifle, dass den meisten Leuten überhaupt klar ist, was da geschützt werden soll) wie Staatsgeheimnisse „geschützt“. Glaubt man tatsächlich, dass jedem Betroffenen dieses Machwerks von Gesetz Begriffe wie social Pluggins, Cookies, Analyse-Tools, Targeting-Tools (um nur ein paar Beispiele aus Ihrem Beitrag zu nennen) geläufig ist? Glaubt man, dass jeder sich einen eigenen IT-Fachmann und Datenschutz-Fachmann (von mir aus auch-frau) leisten kann? Es wird doch so aussehen, dass viele ihren Kopf in den Sand stecken werden und hoffen, dass alles gut geht, was spätestens, wenn der erste Abmahn-Geier seine widerlichen Krallen nach ihm ausstreckt, sich als sehr teure Unterlassung erweisen wird. Diesem „Geschäftszweig“ ist doch wieder mal goldener Boden bereitet worden! Irgendeine Lücke werden diese Meister des Abzockens doch auch in den wohlgemeinten Musterdatenschutzerklärungen finden.

  • Dieter 23. Mai 2018 09:14

    Frage zur DSGVO:
    Wenn man z.B. eine reine „Info“-Website betreibt – also keinerlei Userdaten abfrägt oder speichert – schreiben Sie, dass trotzdem die IP-Adresse abgefragt wird.
    Kann man das unterbinden? Dann hätte man doch eine Website, die völlig „clean“ ist – oder?
    Falls das nicht geht mit der IP – wie kann man dann die Datenschutzerklärung nur auf die Erklärung der IP „minimalisieren“ ?
    Danke für eine Rückantwort.

    • Dorothée Schmid
      Dorothée Schmid 23. Mai 2018 09:25

      Hallo Dieter,

      ich wüsste nicht, wie man verhindern kann, dass die IP-Adresse zumindest in den Logfiles gespeichert wird.
      Informationen, wie die Datenschutzerklärung aussehen muss, finden Sie in unserem Artikel https://www.impulse.de/recht-steuern/rechtsratgeber/datenschutzerklaerung/2393294.html. Am Ende ist auch auf eine Musterdatenschutzerklärung verlinkt, aus der Sie die benötigten Informationen übernehmen könnten.

      Herzliche Grüße aus der impulse-Redaktion
      Dorothée Schmid

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)