Die Datenschutzerklärung nach DSGVO

Seit dem 25.05.2018 gilt die Datenschutzgrundverordnung der EU (DSGVO) für alle europäischen Webseiten. Jede Webseite muss eine Datenschutzerklärung bereitstellen. Für jeden Datenschutzvorgang Webseiten eine Erklärung enthalten. Zusätzlich zur Datenschutzerklärung muss sichergestellt werden, dass die eingesetzten Tools, Social Media Plugins, Cookies und Formulare DSGVO-konform sind.

Cookies
Cookies sind kleine Textdateien. Ein Cookie wird vom Browser des Nutzers gespeichert, der eine Webseite aufruft.

Die Datenschutzerklärung

Die Datenschutzerklärung für eine Webseite hat verschiedene Zwecke:

  1. Sie benennt den Verantwortlichen für den Datenschutz
  2. Sie nennt alle Betroffenenrechte gemäß DSGVO
  3. Sie erklärt, welche Tools, Plugins, Scripte, Cookies und Formulare auf der Webseite eingesetzt werden und welche Verarbeitungsvorgänge damit einhergehen
  4. Sie bietet Abwahlmöglichkeiten für eingesetzte Analysewerkzeuge an

Die Punkte 1 und 2 sind leicht zu erledigen:

Der Verantwortliche für den Datenschutz ist entweder der Betreiber der Webseite gemäß Impressum oder eine speziell für den Datenschutz bestellte Person, etwa ein Datenschutzbeauftragter.

Harte Strafen bei Datenschutzverstößen

Die Betroffenenrechte nach DSGVO sind immer dieselben. Sie sind im Gesetz eindeutig und statisch geregelt und können per Copy & Paste in jede Datenschutzerklärung in deutscher Sprache eingefügt werden. Zu den Betroffenenrechten gehören etwa das Recht auf Löschung eigener personenbezogener Daten, das Recht auf Beschwerde bei einer Aufsichtsbehörde oder das Recht auf Auskunft.

Der Punkt 3 – die Erklärung aller Datenschutzvorgänge – ist der schwierigste, denn hierfür ist zunächst eine möglichst vollständige Untersuchung der gesamten Webseite erforderlich. Für jede Webseite sind die Vorgänge, die für die DSGVO relevant sind, andere. Jede Webseite ist einzigartig und muss auch so betrachtet werden. Schema F gibt es für die Datenschutzerklärung nicht. Zwei normale Webseiten unterscheiden sich bereits dermaßen, dass ein Vorlage für eine Datenschutzerklärung Unsinn wäre. Ein Shop wiederum hat Einkaufsprozesse, die gesondert erklärt werden müssen.

Eine umfangreiche Bestandsaufnahme kann von einem Menschen kaum geleistet werden. Nahezu unmöglich ist diese Bestandsaufnahme für einen technischen Laien (Anwalt).

Punkt 4, die Abwahlmöglichkeiten für Tracker, sind technisch anspruchsvoll und ohne Plugin für die meisten Betreiber einer Webseite nicht realisierbar.

Das muss beachtet werden

Die eben erwähnten Inhalte in der Erklärung müssen natürlich wahrheitsgemäß sein. Es bringt nichts, wenn erklärt wird, dass man Google Analytics mit anonyisierten Netzwerkadressen verwenet, in Wirklichkeit aber das Gegenteil der Fall ist. Deshalb ist der Einsatz von Datenschutzgeneratoren gefährlich und nicht zu empfehlen!

Nutzen Sie auf lieber keinen Datenschutzgenerator

Zusätzlich zum Wahrheitsgehalt spielt die juristische Korrektheit eine Rolle. Die verwendeten Rechtstexte müssen also Hand und Fuß haben und sollten eine genaueren juristischen Prüfung bestehen.

Einige Tracker (wie Google Analytics) und Social Media Plugins (wie der Facebook Gefällt mir Button) dürfen nicht verwendet werden, auch wenn deren Einsatz erklärt wird. Vielmehr ist die vorige Erlaubnis des Nutzers erforderlich. Diese Notwendigkeit der Einwilligungsanfrage wurde zuletzt vom Europäischen Gerichtshof festgestellt.

Eine Webseite ist nur DSGVO-konform, wenn Sie einen entsprechenden WWW Schutz garantieren kann.

Neben dem eben genannten Inhalt der Datenschutzbestimmungen ist die Erreichbarkeit der Datenschutzrichtlinie auf einer Webseite ist besonders wichtig. Wenn sie nämlich nicht ordnungsgemäß erreichbar ist, gilt sie als unerreichbar und ist somit wertlos.

Erreichbarkeit der Datenschutzerklärung

Die Datenschutzerklärung muss von jeder einzelnen Seite einer Webseite erreichbar sein. Das bedeutet, es muss einen leicht verständlichen Link auf die Datenschutzerklärung geben. Dieser Link muss also von der Startseite, vom Impressum, von jeder Seite mit einem Blogartikel, von jeder Seite mit weiteren Informationen aus erreichbar sein.

Globale Erreichbarkeit

Hat Ihre Webseite also 300 Seiten, dann muss auf jeder dieser 300 Seiten ein Link auf die Datenschutzerklärung sichtbar und anklickbar sein.

Linkbeschriftung

Der Link ist typischerweise mit einem der folgenden Begriffe beschriftet:

  • Datenschutzerklärung
  • Datenschutz
  • Datenschutzrichtlinie
  • Datenschutzhinweise

Wichtig ist, dass der Link zur Datenschutzrichtlinie mit maximal zwei Klicks von jeder Seite aus erreichbar ist. Dies muss für alle Endgeräte gelten. Endgeräte sind:

  • Smartphones wie iPhone oder Samsung Galaxy
  • Tablets with iPad oder Android Tablets
  • Notebook
  • Hybrid-PCs mit Touch-Screen
  • Desktop PCs
Insbesondere auf mobilen Endgeräte sieht die Welt anders aus

Die Verlinkung darf nicht in einem Menü versteckt sein, das nicht auf den Datenschutz schließen lässt. Erlaubt ist eine Verlinkung im Hamburger-Menü (3 horizontale Striche) bei Handy-Ansicht. Kritisch wäre ein Menü, welches mit „Über uns“ oder „Kontakt“ bezeichnet wäre.

Aus rechtlichen Gründen sollten Sie die Datenschutzerklärung auf einer eigenen Seite platzieren und nicht mit dem Impressum vermischen.

Wenn Ihre Webseite www.meineseite.de heisst, dann sollte Ihre Seite mit den Datenschutzhinweisen als Unterseite von www.meineseite.de erreichbar sein. Auf gar keinen Fall sollten die Datenschutzhinweise auf einer andere Webseite liegen, etwa www.eineandereseite.de. Der Grund ist, dass bei Unverfügbarkeit von der zweiten Webseite Ihre Datenschutzerklärung nicht erreichbar wäre. Wenn Sie hingegen über dieselbe Adresse wie der Rest Ihrer Webseite erreichbar ist, dann ist die Datenschutzerklärung – genau wie der Rest der Webseite – entweder erreichbar oder nicht erreichbar. Wäre Ihre Webseite nicht erreichbar, etwa weil Strato, 1&1, die Telekom oder ein anderer Dienstleister Netzwerkprobleme haben, dann wäre die gesamt Webseite nicht erreichbar und dafür auch keine Datenschutzerklärung notwendig.

Empfehlung:

Verlinken Sie die Datenschutzerklärung auf jeder Seite Ihrer Webseite. Benennen Sie den Link mit Datenschutzerklärung. Bringen Sie die Datenschutzerklärung auf einer eigenen Seite unter. Diese Seite sollte unbedingt in derselben Domäne liegen, wo auch Ihre Webseite sich befindet.

Für welche Webseiten wird eine Datenschutzerklärung benötigt?

Jede Webseite benötigt eine Datenschutzerklärung, also auf die Facebook Unternehmensseite, der Twitter Account oder das Linkedin Profil.

Ausnahmslos jede Website benötigt eine Datenschutzerklärung

Sie können die Datenschutzerklärung für Ihre Unternehmens-Webseite verwenden, um dort auch Angaben zum Datenschutz auf Facebook zu machen. Dazu erstellen Sie einen neuen Abschnitt mit einer Beschriftung wie Datenschutzerklärung für unsere Facebook-Seiten.

Von Ihrer Facebook Fan Page aus verlinken Sie eben diese Seite. Leider ist es nicht ohne Weiteres möglich, die Datenschutztexte (samt notwendiger Einwilligungsabfragen und Abwahlmöglichkeiten) direkt in Facebook zu integrieren, woraus eine Reihe von rechtlichen Problemen entstehen können.

Gleiches gilt natürlich für alle anderen Social Media Plattformen wie XING, Linkedin, Twitter, Instagram oder Tic Toc.

Erfüllt Ihre Webseite die DSGVO?

Viele Selbständige, Freiberufler und Unternehmer haben sich bereits einige Mühe gegeben, ihre Webseite Datenschutz-konform zu gestalten. Einige haben einen Dienstleister oder Anwalt beauftragt. Oft sind aufgrund der o.g. wichtigen und schwierigen Bestandsaufnahme aber immer noch einige Probleme vorhanden, die eine Abmahnung, Unterlassungserklärung oder ein Bußgeld durch eine Datenschutzbehörde rechtfertigen würden.

Mit einem Datenschutztest können Sie herausfinden, ob auf Ihrer Homepage Probleme mit der DSGVO existieren. Der Test ist ein erster Indikator. Wenn bereits ein kostenfreier Datenschutztest Probleme meldet, dann existieren höchstwahrscheinlich weitere Probleme mit dem Datenschutz auf Ihrer Webseite.

Der Test ist kostenlos und erlaubt eine erste Einschätzung, ob die DSGVO auf Ihrer Webseite vollständig eingehalten wurde oder nicht. Über 90% aller geprüften Seiten, die bereits angeblich abgesichert wurden, bestehen den Test nicht.

Muster-Datenschutzerklärung

Eine Muster-Datenschutzerklärung macht grundsätzlich keinen Sinn, weil jede Webseite anders ist. Aus diesem Grund sind auch Datenschutzgeneratoren gefährlich und verleiten zu der Annahme von Rechtssicherheit.

Eine Datenschutzerklärung kann folgenden Aufbau haben:

  1. Einleitung
    1. Begrüßungstext
    2. Verantwortlicher für den Datenschutz
  2. Erklärung der Betroffenenrechte gemäß DSGVO
  3. Erklärungen zu den eingesetzten Tools, Plugins, Cookies, Scripte, Formularen
    1. Rechtstexte
    2. Abwahlmöglichkeiten (Opt-Out) bei Trackern
    3. Verlinkung auf externe Datenschutzerklärungen der Anbieter der Tools
  4. Erklärungen zu weiteren Datenschutzvorgängen
  5. Abschlussbemerkungen
    1. Urheberrechtshinweis für die Datenschutzerklärung
    2. Qualitätssiegel für geprüften Datenschutz
    3. Sonstige Bemerkungen Ihrer Wahl

Ein Beispiel für eine solche Datenschutzerklärung finden Sie hier.

Schritte zur Erstellung einer Datenschutzerklärung

Anleitung für eine Datenschutzrichtlinie

So erhalten Sie eine Datenschutzerklärung, die rechtssicher ist:

  1. Führen Sie eine vollständige Bestandsaufnahme Ihrer gesamten Webseite aus
    1. Welche Scripte, Tools, Plugins werden verwendet?
    2. Welche Tracker setzen Sie ein?
    3. Welche externen Bilder oder Schriftarten setzen Sie ein
    4. Wo verwenden Sie Kontaktformulare, Anmeldeformulare oder Newsletter-Formulare?
  2. Entfernen Sie alle Scripte, Tools, Plugins, die Sie nicht mehr benötigen
  3. Ersetzen Sie Google Analytics durch ein lokal lauffähiges Analyseprodukt wie Matomo (Piwik) oder WP Statistics oder setzen Sie etracker ein
  4. Versuchen Sie, alle Bilder lokal auf Ihrem Webspace abzulegen
  5. Versuchen Sie, alle Schriftarten, wie die Google Fonts, lokal auf Ihrem Webspace abzulegen
  6. Prüfen Sie die Einstellungen aller verwendeten Scripte, Plugins, Tools
  7. Prüfen Sie Ihre Kontaktformulare
  8. Erstellen Sie die Datenschutzerklärung auf einer eigenen Unterseite Ihrer Webseite mit folgendem Inhalt:
    1. Einleitungstext
    2. Nennung Verantwortlicher oder Verlinkung auf Impressum (im Text der Datenschutzerklärung)
    3. Erklärung der Betroffenenrechte
    4. Erklärungen zu allen verwendeten Scripten, Plugins, Tools, externen Ressourcen (siehe Schritt 1), die nach den Schritten 2 bis 4 noch übrig sind
    5. Opt-Out-Möglichkeiten für alle Analyseprodukte wie Google Analytics, Facebook Pixel, Adobe Analytics
  9. Verlinken Sie die Datenschutzerklärung von jeder Seite aus mit einem eigenen Link, der mit Datenschutzerklärung beschriftet ist
  10. Entfernen Sie Cookie Popup-Banner, welche nur über den Einsatz von Cookies informieren und keine Abwahlmöglichkeit lassen – diese Banner sind unnötig und könnten die Verlinkung zu Impressum und Datenschutzerklärung verdecken

Alternativ können Sie einen Dienstleister beauftragen, der all dies tut. Der Datenschutz-Service der IT Logic GmbH erledigt die genannten Arbeiten für Sie.

Häufige Fehler in der Datenschutzerklärung

Fehlende Rechtstexte

Der größte Fehler in der Datenschutzerklärung sind fehlende Texte für verwendete Tools und Plugins. Das Problem hierbei ist es festzustellen, welche Komponenten auf der Webseite überhaupt eingesetzt werden.

Wie weiter oben gesagt, muss man die Webseite komplett untersuchen, und zwar jede einzelne Seite und pro Seite nicht nur die oberflächlich sichtbaren Teile, sondern auch den Quellcode.

Nur nach dieser umfassenden Bestandsaufnahme können alle notwendigen Texte für die Datenschutzrichtlinie ermitteln und anschließend deklariert werden.

Fehlerhafter Opt-Out Code

Für Tracker und Analysewerkzeuge ist es Pflicht, eine Abwahlmöglichkeit zu schaffen. Diese wird auch Opt-Out genannt. Der Nutzer muss einen Link bereitgestellt bekommen, über den ein Werkzeug deaktiviert werden kann.

Verlinkungen zu Abwahl-Codes sind oft fehlerhaft

Der Code, der die Deaktivierung durchführt, ist meist ein kleines Javascript-Programm. Dieses Programm fehlt oft oder ist unvollständig oder wird nicht korrekt vom Link aufgerufen. Der falsche Aufruf des Codes ist die häufigste Ursache, da über einen Link normalerweise eine Web-Adresse, nicht aber ein Javascript-Code aufgerufen wird.

Unvollständige Angaben in Rechtstexten

Rechtstexte sind an sich einfach zu erstellen. Dies ist an sich selbst einem juristischen Laien möglich. Lesen Sie einfach mal 10 Rechtstexte zu Tools wie Google Maps in Datenschutzerklärungen und Sie werden das Grundprinzip schnell verstehen.

Was häufig in solchen Texten fehlt, ist genau das, was nicht das Metier von Anwälten ist. Dazu gehören insbesondere:

  • Links zur Abwahl der Datenerhebung (Opt-Out)
  • Funktionierender Opt-Out Code
  • Links zu Datenschutzerklärungen der Tool-Anbieter
  • Der Anbieter des Tools samt Firmenanschrift
  • Korrekte der datenschutzrechtlichen Sachverhalte: Wofür werden welche Daten erhoben?

Rechtswidriger Einsatz von Tools

Die Nennung eines Tools in der Datenschutzerklärung legitimiert noch lange nicht deren Nutzung. Wichtig ist, dass möglichst keine Daten Ihrer Nutzer zu Dritten weitergegeben werden. Das ist bei externen Tools, Videos und Plugins aber immer der Fall. Erlaubt ist es dennoch, wenn kein Tracking und kein Datenmissbrauch stattfindet. Im Falle der Firma Google (der auch YouTube gehört) oder der Firma Facebook, ist das mehr als fraglich.

Die Abfrage der Einwilligung

Die Lösung lautet: Verbotene Tools nicht mehr verwenden oder erst, nachdem der Nutzer um Erlaubnis gefragt wurde (Einwilligungsabfrage). Letzteres kann insbesondere durch eine Zwei-Klick Lösung erreicht werden.

YouTube Videos hingegen können entweder lokal gespeichert werden oder über ein Vorschaubild, welches auf das Video bei YouTube verlinkt, DSGVO-konform eingebunden werden.

2019-10-14T20:16:31+02:00