Die Checkliste für eine DSGVO-konforme Datenschutzerklärung

Datenschutz Die Checkliste für eine DSGVO-konforme Datenschutzerklärung

31.01.2020 Von Julia Krause Lesedauer: 6 min

Anbieter zum Thema

Schindler Parent GmbH

Vogel Communications Group GmbH & Co. KG

SC-Networks GmbH

Bald zwei Jahre seit Inkrafttreten der DSGVO steigt die Anzahl der gemeldeten Vorfälle und der Bußgelder an. Nicht zuletzt im Online-Marketing ist das Risiko groß. Denn moderne Webseiten lassen sich erst dann wirklich funktional zur Kundengewinnung einsetzen, wenn sie beispielsweise Tracking-Lösungen oder Anbindung an ein CRM-System gewährleisten.

Die Erstellung einer DSGVO-tüchtigen Datenschutzerklärung stellt oft einen sehr hohen Aufwand für Unternehmen dar.
(Bild: gemeinfrei / Unsplash)

Generische Datenschutzerklärungen helfen nur teilweise weiter

Datenschutzerklärungen können da schnell auf eine Länge von zwanzig oder sogar dreißig DINA4-Seiten anwachsen. Für kleine und mittlere Unternehmen eine schwere Last. Zwar stellen einige Anwaltskanzleien mittlerweile kostenlose Generatoren für Datenschutzerklärungen zur Verfügung. Doch es ist darauf zu achten, ob diese wirklich abbilden, welche Daten von der eigenen Webseite verarbeitet werden. Nicht alle Services, Plugins und Werkzeuge, die es auf dem Markt gibt, sind bei ihnen gelistet. Egal, ob Sie eine Vorlage verwenden, einen Juristen mit ihrer Erstellung beauftragen oder Ihre Datenschutzerklärung selbst schreiben – wichtig ist es, zu klären welche technischen Vorrichtungen Ihre Webseite zur Erhebung und Verarbeitung personenbezogener Daten nutzt und wie Sie darüber informieren müssen.

Die Rechtsgrundlage dafür ist Artikel 12 der DSGVO, in dem die Informationspflicht der Verantwortlichen (Webseitenbetreiber) gegenüber den Betroffenen (Webseitennutzer) aufgeführt ist. Insbesondere ist Absatz 1 Satz 1 zu beachten:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.“

Die DSGVO räumt Webseitennutzern weitreichende Auskunftsrechte ein

Welche Informationen müssen also an die Betroffenen weitergegeben werden?

Laut Artikel 13, Absatz 1 DSGVO die folgenden:

1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Artikel 13, Absatz 2 DSGVO

7. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

8. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

9. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

10. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

11. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

12. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Datenschutzerklärung muss verständlich und vollständig sein

Der Inhalt einer Datenschutzvereinbarung lässt sich ungefähr wie folgt strukturieren:

A. Einleitung

Rechtliche Grundlage der Datenverarbeitung

Inhalt der Datenschutzerklärung

B. Begriffsklärungen nach Art. 4 DSGVO

„Personenbezogene Daten“

„Betroffene Person“

„Verarbeitung“

„Einschränkung der Verarbeitung“

„Profiling“

„Pseudonymisierung“

„Dateisystem“

„Verantwortlicher“

„Auftragsverarbeiter“

„Empfänger“

„Dritter“

„Einwilligung“

„Unternehmen“

„Unternehmensgruppe“

C. Kontaktinformationen

Daten-Verantwortlicher

Datenschutzbeauftragter

D. Ihre Rechte

Auskunftsrecht der betroffenen Person

Recht auf Berichtigung

Recht auf Löschung („Recht auf Vergessenwerden“)

Recht auf Einschränkung der Verarbeitung

Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Recht auf Datenübertragbarkeit

Widerspruchsrecht

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Widerrufsrecht

E. Datenverarbeitung auf der Webseite

Gegebenenfalls Cookies

Gegebenenfalls Kontaktformular

Gegebenenfalls Newsletter-Registrierung

Gegebenenfalls Newsletter-Analyse

Gegebenenfalls Registrierung (z.B. für ein Forum)

Gegebenenfalls weitere Mechanismen zur Datenverarbeitung, die durch den Verantwortlichen stattfinden

F. Weitere Datenschutzbestimmungen

Gegebenenfalls integrierte Dienste (zum Beispiel Facebook, Google)

Die Blöcke A. bis D. sind nicht allzu schwer auszufüllen, da sie den eher generischen Vorschriften der DSGVO entsprechen. Teilweise lassen sich auf Formulierungen aus dem Gesetzestext übernehmen. Dabei muss nur beachtet werden, dass die Datenschutzerklärung für die Allgemeinheit verständlich bleibt. Komplizierte Sätze sind daher unter Beibehaltung ihres Sinns umzuformulieren.

Der interessante und anspruchsvolle Teil der Datenschutzerklärung umfasst die Blöcke E. und F. Hier ist aufzuführen, wie die einzelnen technischen Vorrichtungen die Datenerhebung und -verarbeitung durchführen.

Verantwortliche müssen die Technik hinter der Webseite genau verstehen

Folgende Fragen gilt es zu klären, damit die Erklärung der vorgeschriebenen Informationspflicht tatsächlich nachkommt:

Welche Arten von Daten sollen erhoben und verarbeitet werden (Emailadresse, Name, IP-Adresse, etc.)?

Durch welche Vorrichtungen werden die Daten erhoben (Onlineshop, Newsletter-Formular, Kontaktformular)?

Wo gehen die Daten hin und wer hat Zugriff auf sie?

Kommt auch Software von Drittanbietern bei der Datenerhebung und -verarbeitung zum Einsatz? Falls ja, welche (MailChimp, Google Fonts, Google Analytics, etc.)? Fließen Daten an diese Unternehmen (z.B. vermittels eines Software-as-a-Service-Modells)?

Werden Cookies auf dem System von Webseitenbesuchern gespeichert? Falls ja, welche?

Aus diesen Kontrollfragen ergibt sich ein Gesamtbild, bei dem jeder Baustein in die Datenschutzerklärung Eingang finden muss. Wird eine Vorlage verwendet, sollten Sie zumindest an diesen Punkten die Aussagen der Textbausteine einzeln prüfen und gegebenenfalls anpassen – denn es ist gut möglich, dass hier Vorlage und Realität voneinander abweichen.

Die Datenschutzerklärung muss für jede einzelne Maßnahme explizit erklären:

Wie funktioniert die Verarbeitung der Daten in der entsprechenden Vorrichtung?

Für welchen Zweck werden Daten verarbeitet? (Beispiel: Die Eintragung in den Newsletter dient dazu, die Benutzer wiederkehrend per Email über Neuigkeiten und Angebote des Unternehmens zu informieren)

Welche Datenkategorien werden verarbeitet? (Wichtig: Auch die IP-Adresse zählt in Deutschland als personenbezogenes Datum!)

Wie können Benutzer sich eintragen?

Wie können Benutzer sich austragen?

Was macht der Verantwortliche mit den Daten? (Beispiel: Ausschluss einer Weitergabe an Dritte)

Bei der Integration von Drittanbietern, die personenbezogene Daten verarbeiten, muss die Datenschutzerklärung zusätzlich deren Geschäftsadresse beinhalten. Zum Beispiel: Google Ireland Limited, Gordon House, Barrow Street, Dublin, D04 E5W5, Irland.

Last, but not least ist ein weiterer wichtiger Punkt, dass die Setzung von Cookies die Einwilligung des Benutzers erfordert. Dies legen zumindest die aktuellen Beratungen zur ePrivacy-Verordnung sowie die Rechtsprechung vor dem EuGH nahe. Eine sinnvolle Lösung stellen sogenannte Consent-Management-Plattformen (CMP) dar, über die Benutzer ihr Einverständnis müssen, bevor die Webseite ein Cookie setzt.

Die DSGVO soll die Persönlichkeitsrechte schützen, zugleich birgt sie große Herausforderungen im Umgang mit Daten für Unternehmen. (gemeinfrei)

Die DSGVO bedeutet einen hohen Mehraufwand für Webseitenbetreiber

Die Erstellung einer DSGVO-tüchtigen Datenschutzerklärung stellt mittlerweile einen sehr hohen Aufwand für Unternehmen dar. Vorgefertigte Textbausteine können nur ein Teil der Lösung sein, weil die Gefahr zu groß ist, dass sie nicht die tatsächliche Funktionsweise der Webseite widerspiegeln. Hinsichtlich der nun ansteigenden rechtlichen Risiken lohnt sich die Investition in eine saubere Datenschutzerklärung. Vorhandene Datenschutzerklärungen sollten zumindest halbjährlich überprüft werden, um der aktuellen Rechtslage noch zu entsprechen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Auch wenn das Ganze sehr viel Aufwand bedeutet und ein eher trockenes Thema ist: Sehen Sie die Datenschutzerklärung nicht als lästige Pflichtübung für den Gesetzgeber, sondern einen essenziellen Service für die Kunden. Damit fällt es leichter, sich auf die Detailarbeit einzulassen und die Datenschutzerklärung gut zu formulieren.

Disclaimer: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Vollständigkeit und Rechtssicherheit werden nicht garantiert. Die Übernahme der genannten Vorschläge geschieht auf eigenes Risiko.

* Felix Schönherr („Sprache fürs Geschäft“) ist selbstständiger Sales- und Marketing-Experte mit Fokus auf der IT-Branche.

(ID:46333975)