Suchen

Datenschutz Die Checkliste für eine DSGVO-konforme Datenschutzerklärung

| Autor / Redakteur: Felix Schönherr* / Julia Krause

Bald zwei Jahre seit Inkrafttreten der DSGVO steigt die Anzahl der gemeldeten Vorfälle und der Bußgelder an. Nicht zuletzt im Online-Marketing ist das Risiko groß. Denn moderne Webseiten lassen sich erst dann wirklich funktional zur Kundengewinnung einsetzen, wenn sie beispielsweise Tracking-Lösungen oder Anbindung an ein CRM-System gewährleisten.

Die Erstellung einer DSGVO-tüchtigen Datenschutzerklärung stellt oft einen sehr hohen Aufwand für Unternehmen dar.
Die Erstellung einer DSGVO-tüchtigen Datenschutzerklärung stellt oft einen sehr hohen Aufwand für Unternehmen dar.
(Bild: gemeinfrei / Unsplash)

Generische Datenschutzerklärungen helfen nur teilweise weiter

Datenschutzerklärungen können da schnell auf eine Länge von zwanzig oder sogar dreißig DINA4-Seiten anwachsen. Für kleine und mittlere Unternehmen eine schwere Last. Zwar stellen einige Anwaltskanzleien mittlerweile kostenlose Generatoren für Datenschutzerklärungen zur Verfügung. Doch es ist darauf zu achten, ob diese wirklich abbilden, welche Daten von der eigenen Webseite verarbeitet werden. Nicht alle Services, Plugins und Werkzeuge, die es auf dem Markt gibt, sind bei ihnen gelistet. Egal, ob Sie eine Vorlage verwenden, einen Juristen mit ihrer Erstellung beauftragen oder Ihre Datenschutzerklärung selbst schreiben – wichtig ist es, zu klären welche technischen Vorrichtungen Ihre Webseite zur Erhebung und Verarbeitung personenbezogener Daten nutzt und wie Sie darüber informieren müssen.

Die Rechtsgrundlage dafür ist Artikel 12 der DSGVO, in dem die Informationspflicht der Verantwortlichen (Webseitenbetreiber) gegenüber den Betroffenen (Webseitennutzer) aufgeführt ist. Insbesondere ist Absatz 1 Satz 1 zu beachten:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.“

Die DSGVO räumt Webseitennutzern weitreichende Auskunftsrechte ein

Welche Informationen müssen also an die Betroffenen weitergegeben werden?

Laut Artikel 13, Absatz 1 DSGVO die folgenden:

  • 1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • 2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • 3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • 4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • 5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • 6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Artikel 13, Absatz 2 DSGVO

  • 7. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • 8. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • 9. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • 10. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • 11. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • 12. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Datenschutzerklärung muss verständlich und vollständig sein

Der Inhalt einer Datenschutzvereinbarung lässt sich ungefähr wie folgt strukturieren:

A. Einleitung

  • Rechtliche Grundlage der Datenverarbeitung
  • Inhalt der Datenschutzerklärung

B. Begriffsklärungen nach Art. 4 DSGVO

  • „Personenbezogene Daten“
  • „Betroffene Person“
  • „Verarbeitung“
  • „Einschränkung der Verarbeitung“
  • „Profiling“
  • „Pseudonymisierung“
  • „Dateisystem“
  • „Verantwortlicher“
  • „Auftragsverarbeiter“
  • „Empfänger“
  • „Dritter“
  • „Einwilligung“
  • „Unternehmen“
  • „Unternehmensgruppe“

C. Kontaktinformationen

  • Daten-Verantwortlicher
  • Datenschutzbeauftragter

D. Ihre Rechte

  • Auskunftsrecht der betroffenen Person
  • Recht auf Berichtigung
  • Recht auf Löschung („Recht auf Vergessenwerden“)
  • Recht auf Einschränkung der Verarbeitung
  • Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
  • Widerrufsrecht

E. Datenverarbeitung auf der Webseite

  • Gegebenenfalls Cookies
  • Gegebenenfalls Kontaktformular
  • Gegebenenfalls Newsletter-Registrierung
  • Gegebenenfalls Newsletter-Analyse
  • Gegebenenfalls Registrierung (z.B. für ein Forum)
  • Gegebenenfalls weitere Mechanismen zur Datenverarbeitung, die durch den Verantwortlichen stattfinden

F. Weitere Datenschutzbestimmungen

  • Gegebenenfalls integrierte Dienste (zum Beispiel Facebook, Google)

Die Blöcke A. bis D. sind nicht allzu schwer auszufüllen, da sie den eher generischen Vorschriften der DSGVO entsprechen. Teilweise lassen sich auf Formulierungen aus dem Gesetzestext übernehmen. Dabei muss nur beachtet werden, dass die Datenschutzerklärung für die Allgemeinheit verständlich bleibt. Komplizierte Sätze sind daher unter Beibehaltung ihres Sinns umzuformulieren.

Der interessante und anspruchsvolle Teil der Datenschutzerklärung umfasst die Blöcke E. und F. Hier ist aufzuführen, wie die einzelnen technischen Vorrichtungen die Datenerhebung und -verarbeitung durchführen.

Verantwortliche müssen die Technik hinter der Webseite genau verstehen

Folgende Fragen gilt es zu klären, damit die Erklärung der vorgeschriebenen Informationspflicht tatsächlich nachkommt:

  • Welche Arten von Daten sollen erhoben und verarbeitet werden (Emailadresse, Name, IP-Adresse, etc.)?
  • Durch welche Vorrichtungen werden die Daten erhoben (Onlineshop, Newsletter-Formular, Kontaktformular)?
  • Wo gehen die Daten hin und wer hat Zugriff auf sie?
  • Kommt auch Software von Drittanbietern bei der Datenerhebung und -verarbeitung zum Einsatz? Falls ja, welche (MailChimp, Google Fonts, Google Analytics, etc.)? Fließen Daten an diese Unternehmen (z.B. vermittels eines Software-as-a-Service-Modells)?
  • Werden Cookies auf dem System von Webseitenbesuchern gespeichert? Falls ja, welche?

Aus diesen Kontrollfragen ergibt sich ein Gesamtbild, bei dem jeder Baustein in die Datenschutzerklärung Eingang finden muss. Wird eine Vorlage verwendet, sollten Sie zumindest an diesen Punkten die Aussagen der Textbausteine einzeln prüfen und gegebenenfalls anpassen – denn es ist gut möglich, dass hier Vorlage und Realität voneinander abweichen.

Die Datenschutzerklärung muss für jede einzelne Maßnahme explizit erklären:

  • Wie funktioniert die Verarbeitung der Daten in der entsprechenden Vorrichtung?
  • Für welchen Zweck werden Daten verarbeitet? (Beispiel: Die Eintragung in den Newsletter dient dazu, die Benutzer wiederkehrend per Email über Neuigkeiten und Angebote des Unternehmens zu informieren)
  • Welche Datenkategorien werden verarbeitet? (Wichtig: Auch die IP-Adresse zählt in Deutschland als personenbezogenes Datum!)
  • Wie können Benutzer sich eintragen?
  • Wie können Benutzer sich austragen?
  • Was macht der Verantwortliche mit den Daten? (Beispiel: Ausschluss einer Weitergabe an Dritte)

Bei der Integration von Drittanbietern, die personenbezogene Daten verarbeiten, muss die Datenschutzerklärung zusätzlich deren Geschäftsadresse beinhalten. Zum Beispiel: Google Ireland Limited, Gordon House, Barrow Street, Dublin, D04 E5W5, Irland.

Last, but not least ist ein weiterer wichtiger Punkt, dass die Setzung von Cookies die Einwilligung des Benutzers erfordert. Dies legen zumindest die aktuellen Beratungen zur ePrivacy-Verordnung sowie die Rechtsprechung vor dem EuGH nahe. Eine sinnvolle Lösung stellen sogenannte Consent-Management-Plattformen (CMP) dar, über die Benutzer ihr Einverständnis müssen, bevor die Webseite ein Cookie setzt.

Die DSGVO bedeutet einen hohen Mehraufwand für Webseitenbetreiber

Die Erstellung einer DSGVO-tüchtigen Datenschutzerklärung stellt mittlerweile einen sehr hohen Aufwand für Unternehmen dar. Vorgefertigte Textbausteine können nur ein Teil der Lösung sein, weil die Gefahr zu groß ist, dass sie nicht die tatsächliche Funktionsweise der Webseite widerspiegeln. Hinsichtlich der nun ansteigenden rechtlichen Risiken lohnt sich die Investition in eine saubere Datenschutzerklärung. Vorhandene Datenschutzerklärungen sollten zumindest halbjährlich überprüft werden, um der aktuellen Rechtslage noch zu entsprechen.

Auch wenn das Ganze sehr viel Aufwand bedeutet und ein eher trockenes Thema ist: Sehen Sie die Datenschutzerklärung nicht als lästige Pflichtübung für den Gesetzgeber, sondern einen essenziellen Service für die Kunden. Damit fällt es leichter, sich auf die Detailarbeit einzulassen und die Datenschutzerklärung gut zu formulieren.

Disclaimer: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Vollständigkeit und Rechtssicherheit werden nicht garantiert. Die Übernahme der genannten Vorschläge geschieht auf eigenes Risiko.

* Felix Schönherr („Sprache fürs Geschäft“) ist selbstständiger Sales- und Marketing-Experte mit Fokus auf der IT-Branche.

(ID:46333975)