Die Datenschutzerklärung: Neue Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)
Grundsätzlich muss jeder Webseitenbetreiber eine Datenschutzerklärung bereithalten, damit für die Besucher deutlich wird, welche personenbezogenen Daten wie und wozu erhoben werden. Damit sind solche Daten gemeint, die sich einer bestimmten oder jedenfalls (später) bestimmbaren Person zuordnen lassen. Beispiele hierfür sind Name, Adresse oder Telefonnummer. Auch eine IP-Adresse lässt sich einem Internetanschluss und folglich dem konkreten Anschlussinhaber zuordnen. Jede Webseite, die solche Daten erhebt, bedarf einer Datenschutzerklärung. Deren Inhalt kann sich je nach Art der angebotenen Dienste und auf der Webseite aktiven Analyse-Tools stark unterscheiden. Der Umfang der Datenerhebung ist übrigens weitaus größer, als die meisten Seitenbetreiber vermuten. Selbst wenn z.B. auf der Website keine Möglichkeit besteht, persönliche Daten einzugeben, werden oft dennoch etliche Informationen erfasst. Ein hervorragendes Beispiel ist das Tracking (Auswertung des Klickverhaltens von Internetnutzern). Viele Seitenbetreiber setzen Lösungen, wie z.B. Google Analytics oder Piwik ein, um sich einen Überblick über ihre Besucherzahlen zu verschaffen. Über solche Maßnahmen gilt es den Nutzer zwingend per Hinweis zu informieren. Doch was genau gilt es, zu beachten? Über die Pflichtinformationen in der Datenschutzerklärung, die deutlich über die Pflichten der früheren Regelung hinausgehen, gibt Art. 13 DSGVO Auskunft.
Social Media: Aufgepasst bei Facebook, Twitter und Co.
Plugins aus dem Social Media Umfeld befinden sich stark auf dem Vormarsch. Sofern Daten von den Plugins an die Betreiber der Social Media Plattformen weitergeleitet werden, ist der Nutzer ebenfalls darüber zu informieren. Beispiele für solche Plugins sind Facebook und Twitter Buttons. Sollten Daten mit Personenbezug an Facebook oder andere Unternehmen übermittelt werden, muss der Nutzer dies nachlesen können. Ein entsprechender Hinweis zum Einsatz der Plugins sowie dem damit verbundenen Zweck darf deshalb in der Datenschutzerklärung nicht fehlen.
Cookies
Die Erfassung von Daten mit Personenbezug auf einer Website kann auch über Cookies erfolgen. Da hierfür auch immer die IP-Adresse des konkreten Nutzers erforderlich ist, bedarf der Einsatz von Cookies einer Aufklärung in der Datenschutzerklärung. Des Weiteren ist zwischen den verschiedenen Arten von Cookies zu unterscheiden. Speicherdauer und -kapazität von Cookies unterscheiden sich teils sehr stark, weshalb die Datenschutzerklärung in diesem Bereich durchaus detaillierter sein sollte.
Folgen bei fehlenden oder fehlerhaften Datenschutzerklärungen
Fehlt eine Datenschutzerklärung oder weist sie inhaltliche oder formale Fehler auf, kann das je nach Schwere des Verstoßes weitreichende Folgen haben. Das Telemediengesetz (TMG) sieht bei Verstößen gegen § 13 TMG ein Bußgeld von bis zu 50.000 € vor. Darüber hinaus kann bei datenschutzrechtlichen Verstößen die jeweilige Aufsichtsbehörde aktiv werden. Schließlich ist auch eine wettbewerbsrechtliche Haftung möglich. Wer keine oder nur eine fehlerhafte Datenschutzerklärung auf seiner Webseite bereithält muss folglich mit Abmahnungen rechnen.
Inhalt der Datenschutzerklärung
Es ist zwingend erforderlich:
- die Rechtsgrundlage anzugeben, auf der die Datenverarbeitung beruht, Art. 13 Abs. 1 c) DSGVO;
- alle in Art. 13 DSGVO genannten, verpflichtenden Informationen bereitzuhalten;
- in klarer und einfacher Sprache zu formulieren sowie transparent und verständlich zu strukturieren;
- die Datenschutzerklärung leicht zugänglich zu platzieren ist, so dass Betroffene sie mit nur einem Klick erreichen können.
Daher entspricht eigentlich keine der bislang verwendeten Datenschutzerklärungen den Anforderungen der DSGVO. Aus diesem Grund sollte jeder, der eine Webseite betreibt, seine Datenschutzerklärung dringend an die DSGVO anpassen.
Bei der Erstellung einer DSGVO-konformen Datenschutzerklärung soll Ihnen diese Checkliste helfen.
Des Weiteren können Sie sich auch durch Generatoren im Web helfen lassen, die nach Ihren Vorgaben aus Textbausteinen eine individuell angepasste Erklärung zusammensetzen. Beispielhaft haben wir für Sie im Folgenden zwei entsprechende Generatoren für Sie verlinkt, für deren inhaltliche Richtigkeit und Vollständigkeit wir allerdings keine Gewähr übernehmen können:
https://datenschutz-generator.de/
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/