Bei der Datenschutzerklärung kommt es auf jedes Wort an - sonst drohen mit der DSGVO Bußgelder und Abmahnungen.

© Axel Bueckert/ iStock / Getty Images Plus / Getty Images

Bei der Datenschutzerklärung kommt es auf jedes Wort an - sonst drohen mit der DSGVO Bußgelder und Abmahnungen.

Wie muss eine Datenschutzerklärung auf einer Website künftig aussehen? Wir erklären Ihnen, wie Sie Ihre Datenschutzerklärung jetzt an die Datenschutz-Grundverordnung anpassen müssen.

Die meisten Websites verfügen bereits über eine Datenschutzerklärung. Ab dem 25. Mai ist diese allerdings veraltet. Dann tritt die neue EU-Datenschutzverordnung (DSGVO) in Kraft. Die DSGVO stellt höhere Anforderungen an die Informationen über die Datenerhebung und -verarbeitung. So gut wie jede Webseite benötigt dann eine neue Datenschutzerklärung, um Abmahnungen und Bußgelder zu vermeiden.

Wer braucht eine Datenschutzerklärung?

Eine Datenschutzerklärung muss immer dann auf einer Internetseite vorhanden sein, wenn beim Besuch der Seite personenbezogene Daten erfasst und verarbeitet werden. „Das ist bei fast jeder nicht-privaten Webseite der Fall“, sagt Michael Neuber, Justiziar des Bundesverbandes Digitale Wirtschaft (BVDW). So werden in der Regel standardmäßig IP-Adresse und Verweildauer eines Webseitenbesuchers protokolliert – zwei für die Datenschutzerklärung relevante Punkte.

Worüber muss die Datenschutzerklärung informieren?

Im Wesentlichen muss die Datenschutzerklärung wie bisher auch über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten informieren.

Darunter fallen neben der Erfassung von IP-Adressen und Personendaten insbesondere Hinweise zum Umgang mit Social Plugins (zum Beispiel der Facebook „Like“-Button), zum Umgang mit Kontaktformularen, zur Nutzung von Cookies, zum Einsatz von Analyse-Tools (wie etracker oder Google Analytics) und zu Targeting- und Zielgruppenoptimierungstools. „Je mehr Dienste Sie eingebunden haben, desto mehr Informationen müssen Sie geben und desto länger wird die Datenschutzerklärung“, sagt Michael Neuber.

Welche Neuerungen die DSGVO bringt

Die Artikel 12 bis 15 der DSGVO regeln, welche Informationen Websitebetreiber den Nutzern einer Website explizit zur Verfügung stellen müssen. Die Regelungen darin gehen über das hinaus, was bisher erforderlich war. „Sie müssen weit detaillierter auf die Rechte der Betroffenen und deren Wahrnehmungsmöglichkeiten hinweisen“, sagt Neuber.

Folgende Neuerungen müssen Websitebetreiber beachten, wenn im Mai die DSGVO in Kraft tritt:

  1. Die Rechtsgrundlage für die Datenverarbeitung muss immer genannt werden. Die zentrale Rechtsgrundlage, die die Erhebung und Verarbeitung personenbezogener Daten in bestimmten Fällen erlaubt, findet sich in Art. 6 der DSGVO. Schreiben Sie jeweils den Paragraphen mit in die Datenschutzerklärung.
  2. Nutzer müssen sehr umfassend über ihre Rechte informiert werden. Zu den Nutzerrechten zählen
    • Widerspruchsrecht/ Widerrufsrecht: Beim Widerspruchsrecht gilt die Besonderheit, dass die Information darüber getrennt von den anderen Informationen erfolgen muss. „Das darf im Text nicht untergehen“, sagt Neuber. Man kann diese Information beispielsweise durch Rahmung oder Fettung optisch hervorheben.
    • Recht auf Auskunft: Auf Nachfrage muss man Nutzern eine umfassende Auskunft über die Daten, die man von ihnen gespeichert hat, geben.
    • das Recht, dass ihre Daten berichtigt oder gelöscht werden oder die Verarbeitung eingeschränkt wird.
    • Beschwerderecht bei einer Aufsichtsbehörde: In Bezug auf das Beschwerderecht nach Art. 77 DSGVO ist es ausreichend, dass der Betroffene über das Recht als solches informiert wird. Es ist nicht nötig, die zuständige Datenschutzbehörde zu nennen.
    • Recht auf Datenübertragbarkeit: Dies bedeutet, dass beispielsweise Profile von einem Dienst auf den anderen übertragen werden, das ist vor allem auf soziale Netzwerke gemünzt. Wer darunter noch fällt, sei noch nicht geklärt, sagt Neuber.
  3. Ist ein Datenschutzbeauftragter vorhanden, dann muss man dessen Kontaktdaten angeben. Die Angabe der E-Mail-Adresse reicht.
  4. Der Nutzer muss nicht nur darüber informiert werden, wer die erhobenen persönlichen Daten bekommt, sondern auch darüber, ob die Daten an Server im Nicht-EU-Ausland übermittelt werden. Dabei muss man auch darauf hinweisen, ob für dieses Empfängerland ein Datenschutzabkommen existiert – wie beispielsweise das sogenannte Privacy-Shield-Abkommen für die USA.
  5. Der Nutzer muss erfahren, wie lange seine Daten gespeichert werden. Dabei gilt: Wenn die Daten nicht mehr benötigt werden, muss man sie löschen. Die aus Sicherheitsgründen nötige Nutzer-IP-Adresse sollte beispielsweise nicht länger als 14 Tage lang gespeichert werden. Wenn man keinen festen Zeitraum angeben kann, dann muss man seine Kriterien für die Speicherdauer darstellen.
  6. Der Nutzer muss darüber informiert werden, wenn eine sogenannte automatisierte Entscheidungsfindung besteht. Das kann beispielsweise der Fall sein, wenn die Kreditwürdigkeit einer Person durch vollautomatisierte Datenanalyse geprüft wird.

Verständlichkeit der Datenschutzerklärung ist Pflicht

Die DSGVO schreibt nicht nur vor, worüber in der Datenschutzerklärung informiert werden muss, sondern auch, wie das geschehen muss: präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache. Juristische Fachbegriffe sollten Sie vermeiden oder zumindest erklären. Der Text muss auf Deutsch und je nach Kundenkreis auch in weiteren Sprachen verfasst sein.

Da die Informationspflichten oft sehr umfangreich sind, ist es gar nicht so einfach, die Datenschutzerklärung übersichtlich und verständlich zu gestalten. Es empfiehlt sich, auf Aufzählungen oder Tabellen zurückzugreifen, um dazustellen, welche personenbezogenen Daten zu welchem Zweck und aufgrund welcher Rechtsgrundlage verarbeitet werden. Eventuell bieten sich auch Unterseiten mit ausführlicheren Texten an.

Checkliste: Mindestangaben für die Datenschutzerklärung

Zusammengefasst bedeutet dies: Laut DSGVO muss die Datenschutzerklärung ausnahmslos alle Informationen über die eigene Datenerhebung transparent machen und diese verständlich vermitteln.

Folgende Angaben müssen in jedem Fall in die Datenschutzerklärung:

  • Kontaktdaten des Unternehmens bzw. des Verantwortlichen, der über die Verarbeitung von personenbezogenen Daten entscheidet. Das kann je nach Geschäftsmodell die IT sein, die Personalabteilung, einzelne Sachbearbeiter oder der Geschäftsführer selbst
  • alle Zwecke, zu denen personenbezogene Daten verarbeitet werden
  • Rechtsgrundlagen für die Datenverarbeitung
  • Speicherdauer der Daten
  • Rechte der Betroffenen

Zusätzlich zu diesen Mindestangaben müssen Sie gegebenenfalls noch über folgende Punkte informieren:

  • E-Mail-Adresse des Datenschutzbeauftragten
  • Ihre berechtigte Interessen, die Sie mit der Datenverarbeitung verfolgen
  • Dritte, an die die erhobenen personenbezogenen Daten übermittelt werden
  • Ihre Absicht, die Daten ins Nicht-EU-Ausland zu übertragen. In diesem Fall müssen Sie erwähnen, ob es mit dem Zielland ein Datenschutzabkommen gibt oder nicht
  • Ob der Nutzer verpflichtet ist, seine Daten anzugeben und welche Folgen es hat, wenn er das nicht tun möchte
  • Wenn eine automatisierte Entscheidungsfindung (zum Beispiel eine automatische Bonitätsprüfung im Hintergrund) besteht, müssen Sie das angeben

Was passiert, wenn man keine DSGVO-konforme Datenschutzerklärung hat?

Wer seinen Informationspflichten nicht nachkommt, der muss künftig mit höheren Bußgeldern rechnen. Bisher drohte im Onlinebereich ein Bußgeld von maximal 50.000 Euro Die Obergrenze steigt mit der DSGVO auf 20 Millionen Euro beziehungsweise 4 Prozent des gesamten weltweit erzielten Jahresumsatzes bei Unternehmen. Weiterhin drohen bei Verstößen unter Umständen Abmahnungen von Konkurrenten oder Abmahnvereinen. Hier lesen Sie, wie wahrscheinlich die in der DSGVO aufgeführten Strafen sind.

Was taugen Vorlagen und Muster für die Datenschutzerklärung?

Es gibt im Netz diverse Konfiguratoren, mit denen Datenschutzerklärungen generiert werden können sowie Musterdatenschutzerklärungen. „Das ist ein Grundgerüst, mehr aber auch nicht“, sagt Michael Neuber. Es gehe bei der Datenschutzerklärung nicht darum, etwas zu kopieren, sondern darum, dass man sich selbst frage, wo man auf seiner Seite Daten verarbeite und darüber dann zu informieren.

Wenn Sie einen Konfigurator verwenden wollen, schauen Sie genau, wie aktuell die Seite ist und werfen Sie einen Blick ins Impressum, um zu erfahren, wer hinter dem Angebot steckt. Viele Datenschutzerklärungs-Generatoren dienen nämlich vor allem dem Zweck, Daten zu sammeln.

Auf den Seiten der Universität Münster finden Sie eine seriöse Musterdatenschutzerklärung, die Sie nach Ihren Bedürfnissen anpassen können und müssen.

Wo muss die Datenschutzerklärung platziert sein?

Auf vielen Seiten versteckt sich die Datenschutzerklärung im Impressum. Das ist nicht ausreichend, denn die Datenschutzerklärung muss von jeder Unterseite Ihrer Website erreichbar sein. Sie muss auch in verschiedenen Browsern oder auf verschiedenen Endgeräten sichtbar sein. Besser ist es, wenn der Link zur Datenschutzerklärung gut sichtbar auf der Startseite des Webauftritts steht – etwa im Fuß- oder Kopfbereich der Seite. Oft fehlt der Link zur Datenschutzerklärung zum Beispiel in Bestellprozessen bei Onlineshops. Oder er wird von dem Banner verdeckt, das über die Nutzung von Cookies informiert, wenn ein Nutzer die Website betritt. In diesem Fall riskiert man eine Abmahnung.

Was Websitebetreiber durch die DSGVO sonst noch beachten müssen, steht in unserer DSGVO-Checkliste für Websitebetreiber.

Wie Sie am besten reagieren, wenn Ihnen eine Abmahnung ins Haus flattert lesen Sie in unserem Artikel: „Was tun, wenn eine Abmahnung für den Onlineshop ins Haus flattert?“