Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Die Datenschutzerklärung auf Webseiten: Inhalt und Anleitung

Veröffentlicht am 3. Februar 2021 von Dr. DSGVO · Zuletzt aktualisiert am 9. August 2021
2

Kategorien: Datenschutz und Recht

Auf jeder öffentlichen Webseite muss eine Datenschutzerklärung vorhanden sein. Sie muss neben Standardtexten auch Erklärungen zu allen verwendeten Tools und allen Datenverarbeitungsvorgängen enthalten. Mit der Datenschutzerklärung alleine ist es aber nicht getan.

Einleitung

Die Datenschutzerklärung auf Webseiten ist zwingend vorgeschrieben. Dies geht aus Art. 12 sowie Art. 13 DSGVO und der Tatsache, dass Netzwerkadressen personenbezogene Daten sind, hervor. Nahezu jede Webseite stellt ein Angebot dar. Ist eine Webseite quasi leer, braucht sie womöglich keine Datenschutzerklärung. Alleine der Hinweis auf das eigene (geschäftsmäßige) Tätigkeitsfeld reicht m. E. aus, um den Angebotscharakter zu erfüllen (siehe Beispiel, wo m. E. die Datenschutzhinweise fehlen). Sie hierzu auch meine Untersuchung zum Begriff der Datenerhebung und der daraus entstehenden Verantwortlichkeit.

Update: Aus rechtlichen Gründen ist es besser, die Seite für den Datenschutz mit der Bezeichnung „Datenschutzhinweise“ oder „Datenschutzinformationen“ zu versehen. In diesem Beitrag wird stattdessen die früher noch nicht so kritische Bezeichnung „Datenschutzerklärung“ verwendet. Vgl. hierzu das Urteil vom 27.12.2018 – 23 U 196/13.

Aus Erfahrung weiß ich, dass Gefahren (Beschwerde, Abmahnung, Bußgeld) in erster Linie nicht aus Datenschutztexten hervorgehen, sondern aus rechtswidrig eingebundenen Tools, fehlenden SSL-Zertifikaten, nicht funktionierenden Einwilligungsabfragen, zu viel abgefragten Daten in Formularen oder fehlenden Links auf die Datenschutzerklärung.

Etwas zu erklären heißt nicht, dass es dadurch erlaubt ist.

Beispiel Auftragsmörder:

Sie beauftragen einen Auftragsmörder und erklären dem Opfer Ihre Absicht. Wird es dadurch besser?

Häufiges Missverständnis zu Datenschutzerklärungen

Es sei der Hinweis gestattet, dass die Erstellung von Datenschutztexten grundsätzlich jedem möglich und oft sinnvoll ist. Sie benötigen keinen Anwalt dafür. Die Risiken liegen anderswo. Wenn Sie Ihre Webseiten absichern möchten, denken Sie zuerst über andere Dinge nach als die Datenschutzerklärung. Zudem behaupte ich, dass auch Anwälte diese Hinweistexte oft nicht wirklich richtig hinbekommen. Unter anderem liegt das daran, dass für Tools von Google oder Facebook oft gar nicht klar oder vielen nicht genau bekannt ist, welche Datenverarbeitungen durch wen eigentlich stattfinden.

Aus Erfahrung behaupte ich, dass für die Erstellung guter Datenschutztexte für Tools erstens technisches Verständnis und zweitens grundlegendes juristisches Verständnis von Vorteil sind. Weiterhin ist die Kenntnis über den Aufbau von Datenschutztexten hilfreich, weil sämtliche Texte dieser Art die gleiche Grundstruktur haben.

Inhalt der Datenschutzerklärung

Der Inhalt der Datenschutzhinweise kann im Wesentlichen in drei Teile gegliedert werden:

  • Webseiten-spezifische Angaben: Einleitungstext, Nennung verantwortliche Stelle, Nennung DSB, Kontaktangaben
  • Allgemeine Pflichtangaben: Diese sind immer gleich (Stand: 09.08.2021)
  • Angaben zu speziellen Datenverarbeitungsvorgängen auf der Webseite: Relevant bei Einsatz von Newslettern, Formularen oder Tools wie Google Maps

Allgemeine Pflichtangaben

Zunächst müssen eine Reihe von allgemeinen Informationen gegeben werden. Dazu gehören:

  • Betroffenenrechte: Standardtexte
  • Rechtsgrundlagen: Standardtexte (können auch zusätzlich spezifisch ausgestaltet werden)
  • Verantwortliche Stelle: Wer ist für den Datenschutz auf der Webseite verantwortlich und wie kann derjenige erreicht werden?
  • Nennung von Kontaktdaten des Datenschutzbeauftragten: Kann ggf. entfallen

Die Betroffenenrechte können wie folgt erklärt werden.

Betroffenenrechte

Die Betroffenenrechte leiten sich aus Art. 15 DSGVO ab. Hier ein Mustertext für die Nennung von Betroffenenrechte. Bitte evtl. anpassen. Der Text sollte nur mit einem Dankeslink auf https://dr-dsgvo.de verwendet werden.

Sie haben das Recht:

  • gemäß Art. 15 DSGVO Auskunft über Ihre von mir verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei mir erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei mir gespeicherten personenbezogenen Daten zu verlangen;
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei mir gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
  • gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie mir bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
  • gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit mir gegenüber zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen, und
  • gemäß Art. 77 DSGVO haben Sie unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder den Ort des Orts des mutmaßlichen Verstoßes wenden, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung der EU (DS-GVO) verstößt.

Rechtsgrundlagen

Die Rechtsgrundlagen sollten allgemein benannt werden. Zusätzlich kann pro Datenverarbeitungsvorgang eine spezifische Nennung erfolgen, sofern diese nicht offensichtlich ist. Hier ein Mustertext. Der Text sollte nur mit einem Dankeslink auf https://dr-dsgvo.de verwendet werden.

Die Daten, die durch den Besuch unserer Webseite bzw. die Nutzung der angebotenen Kontaktmöglichkeiten entstehen, verarbeiten wir im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Je nach Anliegen, zu dem Sie uns über die Webseite kontaktieren, gibt es dafür unterschiedliche Rechtsgrundlagen. Die konkrete Rechtsgrundlage für die Datenverarbeitung hängt davon ab, in welchem Zusammenhang und für welchen Zweck wir Ihre Daten erhalten. In der Regel ergibt sich die Rechtsgrundlage für die Datenverarbeitung aus den nachfolgend genannten Möglichkeiten:

Art. 6 I lit. a DSGVO dient uns als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Eine erteilte Einwilligung kann jederzeit widerrufen werden.

Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DSGVO. Gleiches gilt für solche Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu unseren Produkten oder Leistungen.

Unterliegen wir einer rechtlichen Verpflichtung, durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DSGVO.

Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DSGVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen.

Mustertext für die Nennung von Rechtsgrundlagen

Bitte achten Sie darauf, dass der Besuch einer Webseite nicht möglich ist, ohne dass personenbezogene Daten verarbeitet werden. Deshalb sollte nicht erklärt werden, dass der Besuch der Webseite ohne Angabe persönlicher Daten möglich ist.

Angaben zu speziellen Datenverarbeitungsvorgängen

Für jeden Datenverarbeitungsvorgang auf der Webseite sind konkrete Angaben zu machen. Siehe hierzu auch Art. 15 DSGVO. Häufige Abschnitte sind:

  • Server-Logs: Die meisten Server speichern Zugriffsprotokolle. Dies sollte erklärt werden
  • Cookies: Die meisten Webseiten setzen Cookies ein. Technisch notwendige Cookies, wie die Anmeldeverwaltung bei WordPress-Webseiten oder Cookies von VG Wort, sind unkritisch. Um Rückfragen zu vermeiden, sollten auch unkritische Cookies erklärt werden. Bitte beachten Sie, dass Cookies keine Textdateien sind, auch wenn es oft so behauptet wird
  • Formulare: Geben Sie an, was mit den Daten passiert. Im Allgemeinen werden die Daten nur zur Beantwortung der Anfrage und eventueller Rückfragen oder weiterer, sich daraus ergebender Kommunikation verwendet
  • Newsletter: Geben Sie an, wie die Daten (mindestens die Mail-Adresse) verarbeitet werden. Nennen Sie die Widerrufsmöglichkeit (Abbestellen des Newsletters). Setzen Sie einen Newsletter-Dienst ein, nennen Sie ihn. Stellen Sie sicher, dass in Newsletter-Mails kein Tracking-Pixel vorhanden ist (und wenn doch, fragen Sie vorher dafür um Erlaubnis)
  • Sonstige Datenerhebungen: Bieten Sie einen Rückrufservice über die Webseite an oder wickeln Sie Bewerbungsverfahren über die Webseite ab oder verarbeiten Sie Daten auf der Webseite aus anderen, noch nicht erklärten Gründen, muss dies erklärt werden.
  • Tools: Für jedes eingesetzte Tool muss insbesondere erklärt werden:
    • Name des Tools
    • Anbieter
    • Zweck
    • eingesetzte Cookies. Pro Cookie: Name, Lebensdauer, Zweck
    • Erhobene Daten
    • Orte der Datenerhebung, sofern sie auch außerhalb des Sitzes (Land) des Anbieters stattfinden
    • Datenempfänger, sofern es weitere außer dem Anbieter gibt
    • Mögliche Risiken, etwa Datentransfer in unsichere Drittländer
    • Vorhandene Garantien, etwa ein Auftragsverarbeitungsvertrag
  • Externe Dateien: Auch für Bilder, Schriften, Videos, Hilfsbibliotheken usw. muss erklärt werden, was es damit auf sich hat.

Haben Sie einen Vertrag mit einem Anbieter eines Tools oder von externen Dateien, kann es im Einzelfall zulässig sein, dies nicht zu erklären.

Woher wissen Sie eigentlich, welche Tools und externen Dateien auf Ihrer Webseite eingebunden sind? Hier ein paar mögliche Antworten. Nur eine davon ist richtig:

  1. Sie raten
  2. Sie fragen Ihre Internet-Agentur
  3. Sie fragen Ihren Datenschutzbeauftragten
  4. Sie fragen einen Anwalt
  5. Sie versuchen, Ihre Webseite ganz genau anzusehen
  6. Sie nutzen ein Tool, mit dem Ihre gesamte Webseite automatisiert durchleuchtet wird. Wenn Sie mehr Sicherheit möchten, bezahlen Sie etwas mehr für eine zusätzliche manuelle Prüfung

Für zahlreiche Tools und Cookies gibt es schlicht keinen Datenschutztext. Wenn der Anbieter eines Dienstes oder dessen genaue Firmierung unbekannt ist, kann keine ordentliche Erklärung stattfinden. Oft sind die Zwecke von Cookies unbekannt oder werden vermutet. Ist dies der Fall, ist ein rechtskonformer Einsatz von Tools, die die betreffenden Cookies verwalten, nicht möglich, weil die gemäß Art. 13 DSGVO vorgeschriebenen Angaben zum Cookie nicht erfolgen können.

Zu Analysewerkzeugen und anderen Tools, die Daten erheben, muss dem Nutzer eine Abwahlmöglichkeit (Opt-Out) zur Verfügung gestellt werden. Die Einwilligung muss für die meisten Tools ebenfalls abgefragt werden.

Typischer Aufbau eines Datenschutztextes eines Tools

An einem möglichen Datenschutztext für Google Maps soll gezeigt werden, wie ein Datenschutztext für ein Tool aufgebaut sein kann. Bitte beachten Sie, dass hier die Angaben zu Cookies fehlen, weil niemand außer Google zu wissen scheint, welche Cookies zu welchem konkreten Zweck genutzt werden!

Beispielhafter Datenschutztext (Cookie-Angaben fehlen!)

Der Text greift mehrere Aspekte auf:

  • Name des Dienstes (Tools). Für Newsletter würde einfach Newsletter genannt werden
  • Anbieter des Dienstes: Volle Firmierung inkl. Adresse und gängiger Länderbezeichnung: USA versteht sicher jeder. Andere ISO-Codes sind nicht verständlich
  • Zweck: Warum wird der Dienst eingesetzt?
  • Rechtsgrundlage: Diese kann entweder zu einem Dienst konkret oder in einem allgemeinen Abschnitt ohne Dienstbezug angegeben werden. Oft ergibt sich die Rechtsgrundlage sowieso aus der Art und Weise, wie ein Dienst eingebunden wird. Mit Einwilligungsabfrage ist die Rechtsgrundlage die Einwilligung, ohne solche Abfrage bleibt für gewöhnlich nur das berechtigte Interesse übrig. Eine spezifisch angegebene Rechtsgrundlage sollte dann allerdings auch stimmen. Wer „Einwilligung“ schreibt und einen Dienst ohne Einwilligung lädt, provoziert Probleme.
  • Spezifische Angaben: Was sollte der Nutzer noch wissen?
  • Datenverarbeitung: Was passiert mit den Daten, die beim Abruf und Betrieb des Tools entstehen?
  • Datenempfänger: Wer kann die Daten empfangen? Im Zweifel empfiehlt sich eine übergeordnete Angabe
  • Nennung von Risiken: Bei Datentransfers in unsichere Drittländer liest gerne mal ein Geheimdienst mit. Das sollte erklärt werden
  • Weiterführende Informationen: Ein Link auf die Datenschutzerklärung des Anbieters kann hilfreich, aber auch schädlich sein. Die von Google bereitgestellten Informationen sind regelmäßig nicht dazu geeignet, Transparenz zu erzeugen. Bei einer Verlinkung sollte insbesondere darauf geachtet werden, auf ein deutsches Dokument zu verweisen.

Wenn Sie sich nun überlegen, wie die Angaben zu Google Maps gemacht werden sollen, werden Sie feststellen, dass dies nicht möglich ist. Alleine die Angabe des o.g. Zwecks „Die Karte nutzen wir zur Anzeige unseres Standorts.“ sollte Anlass zu der Frage sein: Wird die Karte überhaupt benötigt bzw. was ist deren Nutzen?

Weitere Empfehlungen

Die Erklärungen sollten leicht verständlich sein, und zwar für den Normalbürger ohne technisches oder juristisches Fachwissen. Dies geht aus Art. 12 DSGVO hervor.

Es ist grundsätzlich nicht verboten, die Datenschutzerklärung in Form eines eigenen Abschnitts im Impressum unterzubringen. Ich rate jedoch dazu, die Erklärung auf einer eigenen Seite unterzubringen oder zumindest über einen eigenen Link von jeder Seite aus aufrufbar zu machen.

Der Link zur Datenschutzerklärung muss mit maximal zwei Klicks erreichbar sein. Bei responsivem Design für Smartphones sollte der Link nicht nur über ein Hamburger-Menü angezeigt werden, sondern auch immer sichtbar in der Fußzeile. Auch auf angeblich geheimen Login-Seiten muss ein Link vorhanden sein.

Der Link zur Datenschutzerklärung sollte eindeutig benannt sein, also mit Datenschutzerklärung, Datenschutz o. ä. Update: zu empfehlen sind die Bezeichnungen Datenschutzhinweise oder Datenschutzinformationen, um rechtliche Probleme zu vermeiden.

Nennen Sie den Datenschutzbeauftragten (DSB)in der Datenschutzerklärung. Haben Sie keinen eigenen DSB, ist der Verantwortliche für die Datenverarbeitung zu benennen.

Einen DSB muss jede Firma stellen, die mehr als 19 Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten beauftragen. Das ist so gut wie immer der Fall, wenn die genannte Anzahl an Mitarbeitern einen Computerarbeitsplatz besitzt. Firmen mit mehr als 250 Mitarbeitern müssen ebenfalls einen DSB bestellen.

Außerdem gilt die Bestellpflicht des DSB für viele Betriebe, der regelmäßig personenbezogene Daten verarbeiten (vgl. Art. 37 Abs. 1 b DSGVO). Zu dieser Kategorie gehören nach meiner Auffassung alle Betriebe mit einer öffentlichen Website, weil spätestens seit dem Jahr 2017 Netzwerkadressen als personenbezogene Daten gelten.

Zu umfangreiche Datenschutzerklärung

Oft kam die Frage auf, ob zu viele Texte in der Datenschutzrichtlinie ein Problem seien und man gar eine Abmahnung fürchten muss. Meine Auffassung hierzu:

  • Strukturieren Sie Ihre Datenschutzerklärung in klar erkennbaren Abschnitten
  • Wenn ein paar Texte zu viel vorhanden sind, ist das kein Problem
  • Sie dürfen es nur nicht übertreiben
  • Wenn Sie bis vor kurzem noch ein Tool verwendet haben, dies aber aktuell nicht mehr tun, entfernen Sie den Text erst, wenn Sie sicher sind, dass keine Zwischenspeicher (Cache) aktiv sind
  • Wenn Sie bald den Einsatz eines Tools (Kontaktformular, Newsletter, Script, Analysewerkzeug etc.) planen, bauen Sie den Datenschutztext dazu vorher ein

Insbesondere der zuletzt genannte Punkt macht deutlich, dass man keine Probleme wegen zu vielen Texten (wenn es im Rahmen bleibt) erhalten kann: Wie will jemand nachweisen, dass man nicht gerade plant, ein erklärtes, aber noch nicht eingesetztes Tool in Kürze zu verwenden? Zudem kann eine einzelne Seite mit Datenschutzhinweise auch für mehrere Webseiten gleichzeitig vorgehalten werden, auch wenn ich davon aus mehreren Gründen abrate. Allerdings sollten Datenschutztexte nur dann vorhanden sein, wenn sie auch benötigt werden. Ansonsten bieten sie unnötig Angriffsfläche.

Englischsprachige Datenschutzerklärung

Wenn eine Webseite auch andere Märkte als Deutschland, Österreich und Schweiz targetiert, dann sollte die Datenschutzerklärung mindestens auch in Englisch existieren. Für den deutschen Markt ist eine deutschsprachige Erklärung vorzuhalten.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/datenschutzerklaerung-auf-webseiten-inhalt
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Dieser Beitrag wird in anderen Beiträgen erwähnt

Nächster Beitrag

Disclaimer und Haftungsausschluss: eher schädlich als nützlich