Zum Hauptinhalt springen Zum Seiten-Footer springen

Datenschutzerklärung für die Website
hierauf müssen Websitebetreiber achten

Veröffentlicht am

Nicht erst seit Wirksamwerden der DSGVO im Jahr 2018 benötigt jede unternehmerisch verwendete Website eine rechtskonforme Datenschutzerklärung. Wann man eine Datenschutzerklärung benötigt, was enthalten sein muss, wo diese zu platzieren ist und warum eine fehlende oder unvollständige Datenschutzerklärung für den Websitebetreiber teuer werden kann, erklären wir ihnen in diesem Praktiker Leitfaden.

Ihr Ansprechpartner

Rechtsanwalt Tobias Röttger, Medienrecht LL.M. – zertifizierter Datenschutzbeauftragter

Wann benötigt eine Website eine Datenschutzerklärung?
Warum brauche ich als Unternehmer, Selbstständiger, Kleingewerbetreibender eine Datenschutzerklärung auf meiner Website?

Sobald der Betreiber einer Website als „Verantwortlicher“ im Sinne der DSGVO personenbezogene Daten selbst oder durch Dritte verarbeitet, ist er gesetzlich verpflichtet (Artikel 13, 14 DSGVO), die Websitebesucher hierüber zu informieren.

Jeder Websitebetreiber, der seine Website bei einen externen Anbieter (bspw. Mittwald, IONOS, Strato, Hetzner, etc.) hostet, benötigt grundsätzlich eine Datenschutzerklärung, da in der Regel die Zugriffsdaten und Logfiles (bspw. IP-Adresse, Datuum und Uhrzeit des Zugriffs, etc.) seiner Website-Besucher an den Webhosting-Provider übermittelt werden.

Darüber hinaus benötigen all diejenigen eine Datenschutzerklärung, über deren Website die Möglichkeit der Kontaktaufnahme über ein Kontaktformular besteht, bei dem der Besucher seinen Namen und seine E-Mail-Adresse an den Websitebetreiber übermittelt, er sich für einen Newsletter unter Angabe der E-Mail Adresse anmeldet oder seine Adresse im Rahmen eines Gewinnspiels übermittelt.

Aber auch bei der Einbindung von Drittanbietern (z.B. Google Maps) oder dem Einsatz von Trackingtools wie Google Analytics muss dies in der Datenschutzerklärung grundsätzlich beschrieben werden. Die Pflicht zur Veröffentlichung einer Datenschutzerklärung dürfte daher die überwiegende Zahl von Websitebetreibern treffen, es sei denn, es findet tatsächlich keine Verarbeitung personenbezogener Daten durch den Websiteanbieter statt. Dies ist im konkreten Einzelfall zu bewerten.

Welchen Sinn und Zweck hat eine Datenschutzerklärung?
Websites ohne notwendige Datenschutzerklärung drohen Bußgelder

Das Erfordernis einer Datenschutzerklärung bestand schon vor der Anwendbarkeit der DSGVO im Jahr 2018. Allerdings wurden in der DSGVO nun empfindliche Sanktionen bei Datenschutzverstößen festgelegt, wie z.B. die Möglichkeit zur Verhängung hoher Bußgelder (je nach Fall bis zu 10 000 000 EUR oder 2% des weltweiten Umsatzes des Unternehmens bzw. bis 20 000 000 EUR oder 4% des weltweiten Umsatzes des Unternehmens), weshalb die Implementierung und fortlaufende Pflege einer datenschutzkonformen  Datenschutzdokumentation nun umso wichtiger geworden ist.

Datenschutzerklärungen sollen dem Betroffenen, also z.B. dem Websitebesucher einen transparenten Überblick darüber geben, wie dessen Daten verarbeitet werden, damit dieser informiert entscheiden kann, ob er seine Daten auch an die jeweilige Stelle übermitteln möchte.

Bezüglich der praktischen Relevanz gilt es zudem zu bedenken, dass die Datenschutzerklärung eine Art datenschutzrechtliche „Visitenkarte“ des Websitebetreiber / Unternehmens darstellt. Im Gegensatz zu vielen Datenschutzverstößen, die Tag für Tag in Deutschland begangen werden, ist die Datenschutzerklärung für jeden unmittelbar auf der Homepage einsehbar und damit überprüfbar. Ist ein Websitebetreiber / Unternehmer hier nachlässig, kann dies ohne weiteres als Verstoß geahndet werden.

Was muss eine Datenschutzerklärung enthalten?
Inhalt der Datenschutzerklärung

Der notwendige Inhalt der Datenschutzerklärung einer Website ergibt sich aus Artikel 13 DSGVO.  Dem Nutzer müssen die Informationen vor der Datenverarbeitung zugänglich gemacht werden. Danach muss der Websitebetreiber den Nutzer insbesondere über Folgendes informieren:

  • Name und Kontaktdaten des Verantwortlichen (ggf. Vertreter)
  • Kontaktdaten des Datenschutzbeauftragten (soweit anwendbar)
  • Zwecke und Rechtsgrundlage der Verarbeitung (ggf. Beschreibung des berechtigten Interesses)
  • Empfänger und Kategorien von Empfängern
  • Datenübermittlung in ein Drittland
  • Speicherdauer
  • Betroffenenrechte
  • Beschwerderecht bei der Aufsichtsbehörde
  • Ist die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsschluss erforderlich und welche Folgen hat die Nichtbereitstellung der Daten
  • Automatisierte Entscheidungsfindung einschließlich Profiling
  • Ggf. Informationen über Zweckänderung

Achtung bei der Verwendung von Tools, Diensten, Plugins, etc. von Drittanbietern

Bitte beachten: Sobald Dienste von Drittanbietern (z.B. Google Maps, Analytics, etc.). eingesetzt oder eingebettet werden, ist hierüber in der Datenschutzerklärung ebenfalls zu informieren. Einige Anbieter machen den Nutzern in Ihren AGB hierzu Vorgaben, welche Angaben die Information enthalten muss.

Bei der Auswertung unterstützen wir Sie gerne.  Hier ist es wichtig, zunächst eine Bestandsaufnahme durchzuführen, welche Dienste genutzt werden. Hierzu sind auf dem Markt verschiedene Screening Tools verfügbar.

Preview Video
Der Schutz Ihrer Daten ist uns wichtig. Erst wenn Sie hier klicken, erlauben Sie uns, das Video von der cookie-freien YouTube Webseite zu laden.
Was gilt nach dem EuGH Urteil vom 01.10.2019 (C-673/17 – Planet 49) für das Online Marketing❓

Telefon Kontakt
Datenschutzerklärung

Sie haben Fragen zur Datenschutzerklärung?
Dann rufen Sie mich an: 06131 240950

Kann man eine Datenschutzerklärung mit einem Datenschutz-Generator erstellen lassen?
Datenschutzerklärung durch Rechtsanwalt erstellen lassen

Im Netz finden sich Datenschutz-Generatoren - teils kostenlos - die eine rechtssichere Datenschutzerklärung versprechen. In vielen Fällen stimmt das auch. Aber: Der Teufel steckt im Detail. Generische Datenschutzinformationen (z.B.  die mittels eines sog. Datenschutz-Generators erstellt werden) sollten daher sicherheitshalber überprüft werden, um zu gewährleisten, dass sämtliche Datenverarbeitungsvorgänge beschrieben sind.

Viele Websitebetreiber wissen oft gar nicht, welche Einstellungen sie vornehmen müssen. Sie haben keine Ahnung, was genau auf ihrer Webseite passiert oder ob die verwendeten Tools personenbezogene Daten verarbeiten oder nicht.

Diese Unwissenheit hat zur Folge, dass fehlerhafte Datenschutzerklärungen erstellt und verwendet werden, was zu Abmahnungen und Bußgeldern führen kann.

Dies stellt ein potenzielles Haftungsrisiko dar. Dieses kann minimiert werden, indem die jeweilige Datenschutzerklärung, insbesondere bei umfangreichen Datenschutzverarbeitungen, mithilfe von professioneller Beratung individuell erstellt wird oder die Erstellung der Datenschutzerklärung mittels eines Datenschutz-Generators durch einen Anwalt begleitet wird. Hier kann ein im Online-Marketing Recht und Datenschutzrecht erfahrener Anwalt helfen, die Datenschutzerklärung auf Ihre Bedürfnisse entsprechend anzupassen. Hierbei unterstützen wir Sie gerne.

Was gibt es bei der Gestaltung der Datenschutzerklärung noch zu beachten?
Transparent, übersichtlich und klar

Die Datenschutzerklärung muss transparent, übersichtlich und klar formuliert sein. Dies bedeutet insbesondere: Richtet sich die Website an deutsche Nutzer, so muss die Datenschutzerklärung auch in deutscher Sprache verfasst sein.

Die Datenschutzerklärung sollte auch benutzerfreundlich designt sein: Ggf. kann es sich bei umfangreichen Datenverarbeitungsvorgängen anbieten, ein Drop-Down Menü zu implementieren, über dies der Besucher direkt die relevanten Informationen findet. Werden z.B. viele Tracking Tools oder Social Plug-ins (z.B. Facebook Like Button) eingesetzt, so bietet es sich eventuell an, innerhalb der Datenschutzerklärung eine Verlinkung zu einer separaten Tracking, Cookie oder Social Media Information zu hinterlegen, um eine Überfrachtung der Datenschutzerklärung zu vermeiden.

Datenschutzerklärung muss regelmäßig upgedatet werden!
Nichts ist für die Ewigkeit

Bitte beachten: Die Datenschutzerklärung muss angepasst werden, wenn sich Verarbeitungsvorgänge ändern. Dies ist z.B. der Fall, wenn neue Tools eingebunden werden oder die Daten an neue Empfänger weitergegeben werden sollen. Auch bei einer geänderten Rechtslage sind ggf. Änderungen vorzunehmen. So ist es z.B. im Fall eines Drittlandtransfers in die USA bisher möglich gewesen, den Transfer u.a. auf das Privacy Shield Abkommen zu stützen. Der EuGH hat dies aber nun für ungültig erklärt (Az. C-311/18, „Schrems II“), sodass einerseits der US-Transfer nun auf eine gültige Rechtsgrundlage gestützt werden muss (z.B. Standardvertragsklauseln oder Binding Corporate Rules), andererseits dies auch in der Datenschutzerklärung angepasst werden muss.

An welcher Stelle wird die Datenschutzerklärung auf der Website eingebunden?
2-Klick-Regel

Im Hinblick darauf, dass die Datenschutzerklärung für den Besucher einfach aufzufinden sein muss  (d.h. nach der „2-Klick-Regel“ sollte die Datenschutzerklärung innerhalb von 2 Klicks zu erreichen sein), entscheiden sich die meisten Websitebetreiber dazu, die Datenschutzerklärung direkt auf der Homepage unter einem eindeutigen Linktext (z.B. „Datenschutz“) zu verlinken. Wichtig: Die Datenschutzerklärung muss separat verlinkt werden und darf z.B. nicht einfach in den Punkt „Impressum“ eingefügt werden.

Wird eine Datenschutzerklärung auch für Social Media Auftritte benötigt?
Datenschutzerklärung für Facebook, YouTube, Instagram, Twitter und Co notwendig?

Häufig betreiben Unternehmen auch Unternehmensseiten in den sozialen Netzwerken. Hierbei werden oftmals durch die Seitenbetreiber auch personenbezogene Daten der Follower verarbeitet, z.B. bei Kommentaren, Videos und Bildern. Hierüber müssen die betroffenen Personen dann auch informiert werden. Darüber hinaus haben der EuGH und der BGH entschieden, dass der Fanpage / Account-Betreiber und die Social Media Plattform gemeinsam für die Datenverarbeitung verantwortlich sind, die über die „Fanpage“ erhoben werden.

Daher benötigt jedes Unternehmen, Verein, Verband, Freiberufler, Kleinunternehmer, etc., die einen Social Media Seite / Profil betreiben, eine Datenschutzerklärung.

Es bietet sich daher an, auf den jeweiligen Profilen einen (als solchen gekennzeichneten) Link zu der Datenschutzerklärung für Social Media Auftritte zu hinterlegen, über den der Nutzer dann auf diese Daten weitergeleitet wird, z.B. auf der Website des Unternehmens. Die Datenschutzerklärung muss dann entsprechend der Artikel 13,14 DSGVO auch alle gesetzlich erforderlichen Informationen erhalten. Da die Daten in der Regel nicht nur vom Seitenbetreiber, sondern ggf. auch vom sozialen Netzwerk (z.B. Facebook) verarbeitet werden, sind hier ggf. auch der Abschluss von Datenschutzvereinbarungen (bspw. Joint Controller Vertrag – Gemeinsame Verantwortlichkeit Art. 26 DSGVO) mit dem jeweiligen Netzwerkbetreiber erforderlich.

Preview Video
Der Schutz Ihrer Daten ist uns wichtig. Erst wenn Sie hier klicken, erlauben Sie uns, das Video von der cookie-freien YouTube Webseite zu laden.
Deutsche Datenschutzbehörden haben angekündigt, dass sie gegen Unternehmen vorgehen wollen, die eine Facebook Fanpage betreiben. Wie ist nun das Haftungsrisiko bei einer Facebook Fanpage DSGVO❓

Was sind die Konsequenzen einer fehlenden oder unvollständigen Datenschutzerklärung?
Bußgelder, Abmahnungen und Schadensersatz – realistische Risiken

Im Falle eines Verstoßes gegen die Informationspflicht drohen insbesondere die folgenden Konsequenzen:

  • Maßnahmen der zuständigen Aufsichtsbehörde für Datenschutz: Fehlt die Datenschutzerklärung oder ist unvollständig, so führt dies nach überwiegend vertretener Ansicht regelmäßig dazu, dass die Datenverarbeitung zumindest bei einer vollkommen intransparenten Datenverarbeitung oder Täuschung wohl rechtswidrig ist. Dies kann zu Sanktionen wie z.B. empfindliche Bußgelder (s.o.) führen.
  • Abmahnung: Vereinzelt wurde es bereits gerichtlich entschieden, dass Mitbewerber Wege der Abmahnung gegen die fehlende Datenschutzerklärung vorgehen können.
  • Schadensersatz: Der Betroffene hat die Möglichkeit, sich bei dem Websitebetreiber zu beschweren, kann aber auch deliktischen Schadensersatz sowie Unterlassung vom Websitebetreiber verlangen.
  • Verbraucherschutzverbände und Datenschutzvereine können ebenfalls gegen den Websitebetreiber auf dem Wege der Abmahnung und Unterlassungsklage vorgehen.

Hinweis: Die genannten Sanktionen machen deutlich, dass die Datenschutzerklärung als „Aushängeschild“ des Websitebetreibers einen großen Anteil hat, welchen Eindruck der Websitebesucher von der Datenschutzkonformität des Betreibers gewinnt. Dies kann insbesondere bei Unternehmen, die eine große Anzahl von Kundendaten verarbeiten, von herausragender Bedeutung für den geschäftlichen Erfolg sein. Denn immer mehr Verbraucher sind nach Datenschutzskandalen der jüngsten Zeit (z.B. H&M, Marriott) für die Thematik sensibilisiert worden und informieren sich genau. Eine gut aufgestellte Datenschutzdokumentation kann daher für ein Unternehmen einen echten Wettbewerbsvorteil darstellen.

Ansprechpartner
Rechtsanwalt Tobias Röttger, LL.M.

Tobias Röttger

Rechtsanwalt

Rechtsanwalt Tobias Röttger, Medienrecht LL.M. – zertifizierter Datenschutzbeauftragter

tobias.roettgerggr-law.LÖSCHEN.com
+49-6131-240950

gulden röttger rechtsanwälteKanzlei für Urheber- und Medienrecht *2005 Geistiges Eigentum Reputation Medien hat 4,92 von 5 Sternen234 Bewertungen auf ProvenExpert.com