Rechtliche Hinweise zur Datenschutzerklärung
Wenn es um das Thema Datenschutzerklärung und DSGVO (Datenschutzgrundverordnung) geht, herrscht häufig große Verunsicherung. Viele fragen sich verunsichert: Brauche ich überhaupt eine Datenschutzerklärung?
Viele Website Betreiber glauben, dass sie personenbezogene Daten überhaupt nicht verarbeiten. Sehr wahrscheinlich ist diese Einschätzung falsch. Denn personenbezogene Daten werden bereits verarbeitet, wenn ein Nutzer die Website mit seiner IP-Adresse besucht. Also eigentlich immer.
Hinweis: Die folgenden Informationen beruhen auf eigener Recherche und Erfahrungen. Ich bin aber kein Anwalt. Wenn du 100%ig sicher sein willst, dass deine Website rechtskonform ist, solltest du dich bei einem Rechtsanwalt (Fachanwalt für IT oder Medienrecht) informieren. Weitere Informationen zum Thema Datenschutz erhältst du von der IHK oder bei einem Online Rechtsportal wie z.B. e-Recht24.de.
Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Typische personenbezogene Daten sind:
- Name
- Adresse
- Alter
- E-Mail-Adresse
- IP-Adresse
- Standortdaten
- Sozialversicherungsnummer
- Personalausweisnummer
- Kontonummer
- sowie alle Daten, die das Aussehen einer Person betreffen.
Wer braucht eine Datenschutzerklärung?
Eine Datenschutzerklärung ist nur notwendig, wenn personenbezogene Daten erhoben und verarbeitet werden (Art. 14 DSGVO). Auf den ersten Blick könnte man glauben, dass eine private Website keine personenbezogenen Daten verarbeitet, wenn kein Kontaktformular, keine Werbebanner und keine Social Media Plug-ins usw. eingesetzt werden.
Der Server, auf dem die Webseiten gehostet (gespeichert) werden erhebt aber im Hintergrund personenbezogene Daten in Form von Server Logfiles. Diese Logfiles enthalten unter anderem die IP-Adressen der Besucher. Die IP-Adressen sind aber auch personenbezogene Daten.
Jede Website braucht eine Datenschutzerklärung.
Was muss in der Datenschutzerklärung stehen?
Die Datenschutzerklärung muss in einer einfachen und klaren Sprache formuliert werden und muss übersichtlich gegliedert sein. Dabei sollen juristische Fachbegriffe vermieden werden. Folgende Informationen müssen gemäß Art. 13 DSGVO auf jeden Fall in der Datenschutzerklärung stehen.
-
Name und Kontaktdaten des Verantwortlichen (Betreiber der Website)
-
Allgemeine Hinweise zur Datenschutzerklärung, z.B. Zweck und Rechtsgrundlage zur Erhebung und Verarbeitung personenbezogener Daten
-
Hinweis auf Recht auf Auskunft über die gespeicherten personenbezogenen Daten
-
Hinweis auf Recht auf Bestätigung, ob personenbezogene Daten gespeichert sind
-
Hinweis auf Recht auf Löschung, Widerspruch, Übertragung von personenbezogenen Daten
-
Hinweis auf Recht auf Beschwerde bei einer Aufsichtsbehörde
-
Allgemeine Hinweise zu Cookies
-
Eingesetzte Web Analyse Tools, z.B. Google Analytics
-
Eingesetzte Social Media Plug-ins, z.B. Facebook Like-Buttons
-
Eingesetzte Affiliate Programme (Partnerprogramme)
Für jede einzelne in der Datenschutzerklärung genannte Datenerhebung sollte auch die anwendbare Rechtsgrundlage genannt werden. Folgende Fragen müssen für jede einzelne Erhebung personenbezogener Daten beantwortet werden.
-
Welche personenbezogenen Daten werden erhoben?
-
Warum werden personenbezogene Daten überhaupt erhoben?
-
Wie werden die erhobenen personenbezogenen Daten verwendet?
-
Werden die erhobenen personenbezogenen Daten an Dritte weitergegeben?
-
Welche Maßnahmen zur Sicherheit der Daten werden ergriffen?
-
Findet ein grenzüberschreitender Datentransfer statt?
Wie muss die Datenschutzerklärung in die Website eingebunden werden?
Egal ob du eine private oder geschäftliche Website hast, eine Datenschutzerklärung ist immer Pflicht.
§13 TMG (Telemediengesetz) besagt:
(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] zu unterrichten. […] Der Inhalt der Unterrichtung muss […] jederzeit abrufbar sein.
Das bedeutet, die Datenschutzerklärung muss von jeder Unterseite der Website mit einem Klick direkt abrufbar sein. Das gilt auch für mobile Endgeräte wie Smartphones und Tablets.
Achtung: Ein Link im Impressum reicht nicht aus. Die Datenschutzerklärung und das Impressum sollten klar voneinander getrennt sein.
Die Positionierung des Links zur Datenschutzerklärung ist nicht eindeutig bestimmt. Viele Website-Betreiber platzieren den Link zur Datenschutzerklärung im Footer (Fußzeile) ihrer Webseiten. Ob dies dem Gebot zu Beginn der Nutzung entspricht, ist allerdings nicht klar.
Ich empfehle:
Platziere die Links Impressum und Datenschutz (bzw. Datenschutzerklärung) in die Navigation deiner Website.
Der Link zum Impressum muss nicht auf jeder Unterseite eingebunden werden. Gemäß einem BGH-Urteil sind dem Besucher einer Website bis zu 2 Klicks zumutbar.
Die beiden Seiten Impressum und Datenschutz können zu einer Seite zusammengefasst werden. In diesem Fall muss der Link aber Impressum und Datenschutz heißen.