Jede Website, die personenbezogene Daten erhebt, benötigt eine Datenschutzerklärung. Diese dient dazu, Kunden darüber aufzuklären, in welchem Umfang und zu welchem Zweck ihre Daten verwendet werden. Da die Datenschutzerklärung von jedem eingesehen werden kann, bietet sie eine große Angriffsfläche. So haben zahlreiche Anwälte nach der Erneuerung der EU-DSGVO im Jahr 2018 die Gelegenheit genutzt, Fehler zur Anzeige zu bringen.
Um Bußgelder zu vermeiden, sollte auch die sprachliche Formulierung fehlerfrei sein. Wer in Deutschland ein Unternehmen gründet, Deutsch jedoch nicht fließend beherrscht, sollte in Erwägung ziehen, Deutschunterricht zu nehmen wie auch einen Anwalt zu beauftragen.
Der Sinn einer Datenschutzerklärung
Wer sich im Internet bewegt, hinterlässt eine Datenspur (externer Link), die nachvollzogen werden kann. Unternehmen arbeiten zum Beispiel mit den sogenannten “Cookies”, um ihren Nutzern folgen zu können und so Rückschlüsse auf deren Kaufverhalten zu ziehen. Webseitenbetreiber analysieren die gesammelten Kundendaten, um ihr Angebot zu verbessern, die Daten im Rahmen der Marketingstrategie für Werbezwecke zu verwenden oder sogar zu verkaufen. Viele Internetnutzer sind mit der Nutzung ihrer Daten nicht einverstanden und wollen lieber anonym bleiben.
Damit Kunden genau wissen, wie, wo und wozu ihre Daten verwendet werden, sind Webseitenbetreiber verpflichtet, die Datenerhebung in der Datenschutzerklärung transparent darzustellen. Dabei sollte der Text möglichst leicht verständlich sein und erklären, ob Daten gespeichert werden, welche Daten gespeichert werden und ob oder inwiefern Daten an Dritte weitergegeben werden.
Jedes Unternehmen und jede Einzelperson, die auf ihrer Webseite oder anderweitig personenbezogene Daten erhebt oder verarbeitet, muss in einer Datenschutzerklärung darüber aufklären (externer Link).
7 Schritte zur individuellen Datenschutzerklärung
In Artikel 13 DSGVO wird dargelegt, welche Informationen zwingend in einer Datenschutzerklärung enthalten sein müssen. Daran müssen sich Webseitenbetreiber in jedem Fall orientieren. Wer bereits eine Datenschutzerklärung hat und diese seit der Aktualisierung der alten Rechtsgrundlage durch die DSGVO noch nicht überarbeitet hat, muss dies dringend tun. Empfindliche Bußgelder können das eigene Unternehmen in Schwierigkeiten bringen.
Die Informationen müssen leicht und verständlich formuliert und übersichtlich gegliedert werden und folgende Fragen beantworten:
- Welche personenbezogenen Daten werden erhoben?
- Was passiert mit den erhobenen Daten?
- Warum werden die Daten erhoben?
- Werden Daten an Dritte weitergegeben?
- Findet ein grenzüberschreitender Datenverkehr statt?
- Wie wird die Sicherheit der Daten gewährleistet?
1. Datenverarbeitungsvorgänge identifizieren
Bevor es mit dem Schreiben der Datenschutzerklärung losgeht, gilt es die entsprechenden Datenverarbeitungsvorgänge zu identifizieren. Dabei sollte man über folgende Bereiche nachdenken:
- Datenverarbeitung durch Nutzereingaben
- Datenerhebung durch Server
- Trackingdienste
- Cookies
- Drittinhalte
- Plugins (Social Media)
- Weitere externe Dienstleister
2. Einleitung
Im ersten Schritt wird der Kunde über Sinn und Zweck der Datenschutzverordnung informiert. Eine Einleitung ist zwar per Gesetz nicht zwingend erforderlich, erleichtert aber das Verständnis.
2. Namen und Kontaktdaten
Im zweiten Schritt sind Webseitenbetreiber nach Art. 13 Abs. 1 Buchst. a) DSGVO verpflichtet, Angaben zu Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten zu machen. Dazu gehört der Name der Gesellschaft oder der verantwortlichen Einzelpersonen, Adresse, E-Mail-Adresse und Telefonnummer.
3. Allgemeine Angaben zu Datenverarbeitung, Rechtsgrundlagen und Speicherdauer
In diesem Abschnitt der Datenschutzerklärung wird der allgemeine Datenerhebungs- bzw. -verarbeitungsvorgang genauer erläutert und der Zweck dargelegt. Außerdem muss nach Art. 13 Abs. 1 c) auch die Rechtsgrundlage genannt werden.
In diesem Schritt wird Nutzern auch erklärt, wie lange ihre Daten gespeichert werden.
4. Automatisierte Datenverarbeitung des Servers
Webseitenbesucher müssen auch über die Speicherung von Informationen in Server-Log-Files unterrichtet werden. Dabei sollte die Speicherdauer nicht länger sein als sieben Tage.
5. Datenverarbeitung durch Nutzerangaben
In diesem Schritt wird nun genauer auf die Datenerhebung sowie auf die Verarbeitungsprozesse eingegangen. Jede Datenerhebung muss hier gelistet sein. Neben der Beschreibung des Zwecks muss hier auch die Rechtsgrundlage genannt werden. Diese finden sich in Art 6 Abs. 1 DSGVO.
Wichtig ist dabei vor allem die Einwilligung von Webseitenbesuchern in die Datenverarbeitung, beispielsweise die Eintragung in einen Newsletter.
6. Tracking, Cookies, Plugin und externe Inhalte
In diesem Schritt müssen nicht nur allgemeine Hinweise zur Verwendung von Cookies gegeben werden, sondern auch detailliert beschrieben werden, wie Tracking Services, Social Media Tools und andere externe Inhalte eingebunden werden. Auch hier ist die Angabe der Rechtsgrundlage erforderlich. Dieser Teil ist der umfangreichste Teil der gesamten Datenschutzerklärung.
7. Rechte der Betroffenen
Im letzten Schritt müssen die Nutzer über ihre Rechte informiert werden. Dazu gehört ein Hinweis auf das Widerrufsrecht bei Einwilligung in die Nutzung personenbezogener Daten.
Sind all diese Schritte erfüllt, haben Webseitenbetreiber eine umfangreiche Datenschutzerklärung, die nicht nur sie selbst rechtlich absichert, sondern auch Transparenz für Webseitenbesucher schafft.
Es wird zwar jedem betroffenen Existenzgründer empfohlen, die Datenschutzerklärung von einem Spezialisten wie z. B. einem Fachanwalt erstellen zu lassen, in vielen Fällen kann aber auch ein Datenschutzgenerator (externer Link) ausreichend sein.
Nutzen Sie unsere kostenfreien Gründer- & Unternehmer-Services!
Fördermittel-Check | Berater finden | Geschäftsidee vorstellen | Newsletter (monatlich)