Welche Website braucht eine Datenschutzerklärung?

Jeder weiß, dass gewerbliche Webseiten eine Datenschutzerklärung benötigen. Die Datenschutzerklärung braucht keine endlos lange Schriftrolle zu sein.

Was steht in der Datenschutzerklärung?

Ihre Datenschutzerklärung ist eine Visitenkarte Ihres Unternehmens, die Vertrauen schafft, seriös wirkt und Sorgfalt demonstriert. Sie darf von Herzen kommen und Ihre Kunden freundlich ansprechen.

Datenschutzerklärungen erfüllen die Informationspflicht, die entsteht, sobald man gewerblich personenbezogene Daten über eine Person erhebt. Sobald jemand eine Webseite besucht, werden automatisch personenbezogene Daten erhoben, selbst wenn man keine besonderen Analyse-Tools installiert hat. Deswegen gilt: Jede gewerblich genutzte Webseite braucht eine Datenschutzerklärung.

Datenschutzerklärungen sollen der Transparenz gegenüber Besuchern gewerblicher Webseiten dienen. Sie sollen auf einfache und verständliche Weise darüber informiert werden, welche ihrer Daten zu welchen Zwecken verarbeitet werden. Aber liest irgendjemand diese Datenschutzerklärungen? Und ist das nicht immer der gleiche dröge Block an gestelzten Formulierungen?

Wie erstelle ich eine Datenschutzerklärung ?

Vermutlich lesen nur wenige Menschen Datenschutzerklärungen, es sei denn, man interessiert sich sehr dafür, welche Daten über die Apps auf dem Smartphone des eigenen Kindes an x-beliebige Unternehmen in fremde Länder fließen.

Denken Sie ans tatsächliche Zielpublikum!

Und hier kommen wir zu unserem Zielpublikum für Datenschutzerklärungen: diejenigen Kunden, die es

• aus einem konkreten Grund genau wissen wollen oder
• ein konkretes Anliegen zu ihren eigenen Daten haben, mit dem sie sich bei Ihnen melden wollen.

Ihre Datenschutzerklärung ist also das Aushängeschild Ihres Unternehmens bezüglich des Datenschutzes, gerade für Kunden, denen Vetrauen wichtig ist oder die mit Ihnen in Kontakt treten möchten.

Passender weise braucht die Datenschutzerklärung auch nicht in unverständlichem Kanzleistil verfasst sein. Die DS‑GVO gibt im Gegenteil sogar vor, dass Datenschutzerklärungen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ geschrieben sein sollen.

Der Europäische Datenschutzausschuss (EDSA) wird sogar noch deutlicher und gibt vor, dass „nicht unverhältnismäßig viele rechtliche, technische oder fachbezogene Formulierungen“ verwendet werden sollen.

Datenschutzerklärungen sind Marketing

Was kann man mit einer guten Datenschutzerklärung auf seiner Webseite erreichen, die mehr schafft, als nur die gesetzlichen Pflichten zu erfüllen?

• Man kann bei Kunden und Interessenten Vertrauen schaffen;
• man kann zeigen, dass man im Unternehmen in jeder Hinsicht sorgfältig und professionell arbeitet – auch in einer vermeintlich so lästigen Abteilung wie dem Datenschutz;
• man kann sich von der Konkurrenz abheben.

Was steht in der Datenschutzerklärung?

Die Form

Es gibt bestimmte gesetzliche Vorgaben der DS-GVO, die erfüllt sein müssen, obwohl sie eventuell einem bestehenden Webdesign auf der Webseite entgegenstehen. Zusätzlich gibt es eine Leitlinie vom EDSA, der man folgen sollte, um auf Nummer sicher zu gehen.

Zusammengefasst ergeben diese Vorgaben folgende Checkliste:

• Die Datenschutzerklärung steht auf ihrer eigenen Unterseite.
• Die Datenschutzerklärung findet sich als Webseitentext, nicht als PDF-Dokument, das man erst herunterladen und öffnen muss.
• Betreibt man mehrere verschiedene Webseiten, hat jede Webseite ihre eigene Datenschutzerklärung.
• Die Datenschutzerklärung ist mit einem Klick von jeder Webseite aus erreichbar; sie befindet sich beispielsweise im Header, Footer oder Seitenmenü der Webseite.
• Die Datenschutzerklärung darf nicht in den Hintergrund gedrängt werden durch randseitige Platzierungen oder unauffällige Farbzusammenstellung gegenüber anderen Teilen der Webseite.
  (Auf vielen Webseiten sieht man die vom EDSA als unzureichend deklarierte Pryaktik, dass ein Link mit der Beschriftung „Datenschutz“ in hellgrauer und sehr kleiner Schrift noch unter dem Footer neben dem Impressum versteckt ist.)
• Die Datenschutzerklärung ist klar von anderen Informationen getrennt, wie etwa AGBs, allgemeinen Nutzungsbedingungen oder dem Impressum.
  (Man kann darüber debattieren, ob eine Datenschutzerklärung auf der gleichen Unterseite wie das Impressum, aber durch eine eigene Überschrift von dieser abgetrennt, getrennt genug ist. Der Datenschutzerklärung eine eigene Unterseite zu gönnen, zeigt aber, dass man den Rechten seiner Kunden Respekt entgegenbringt.)
• Die Datenschutzerklärung ist durch Überschriften übersichtlich gegliedert.
• Die Datenschutzerklärung ist für das intendierte Zielpublikum tatsächlich verständlich; (die EDSA empfiehlt hier im Zweifelsfall Tests. Dass solche Maßnahmen empfohlen werden, zeigt, man meint es mit der Verständlichkeit wirklich ernst!).
• Die Datenschutzerklärung ist präzise formuliert und enthält keine verschleiernden Ausdrücke wie beispielsweise „können“, „gegebenenfalls“, „oft“ oder „möglich“.

Der Gegenstand

Von wem für wen?

Adressat einer Datenschutzerklärung ist immer die konkrete, natürliche Person, deren Daten man verarbeitet. Absender ist immer der Verantwortliche, also die Geschäftsführung des Unternehmens, das die Daten verarbeitet.

Worüber?

Eine Datenschutzerklärung soll gewährleisten, dass mit Kundendaten und Daten anderer natürlicher Personen transparent umgegangen wird und ihnen so die Möglichkeit erleichtert wird, Kontrolle über ihre eigenen Daten zu behalten: Wohin fließen die Daten und was wird mit ihnen gemacht?

Eine Datenschutzerklärung soll für den Webseitenbesucher folgende Grundfragen klären:

1. Wer ist verantwortlich für die Verarbeitung meiner Daten?
2. Wer ist sein Datenschutzbeauftragter (soweit es einen gibt)?
3. Welche Betroffenenrechte habe ich?
4. Zu welchen Zwecken werden Daten verarbeitet?
5. Welche Daten werden dabei verarbeitet?
6. Werden sie gegebenenfalls an Dritte weitergeleitet?
7. Auf welcher Rechtsgrundlage sind die Verarbeitung und die eventuelle Weiterleitung erlaubt?
8. Wie lange werden die Daten aufbewahrt?

Auf welche Weise sortiert?

Eine sinnvolle Grundstruktur ist, nach den ersten drei Grundfragen (Verantwortlicher, Datenschutzbeauftragter, Betroffenenrechte), die restlichen Grundfragen für jeden Zweck bzw. jede Funktion der Webseite zu beantworten. Solche Zwecke sind gewöhnlich:

• das reine Lesen der Seite,
• die Kontaktaufnahme per E-Mail oder Kontaktformular,
• der Einkauf über den Webshop sowie
• die Anmeldung zum Newsletter.

Daraus ergibt sich beispielsweise folgende Gliederung:

1. Kontaktdaten des Verantwortlichen der Webseite
2. Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen (sofern es einen gibt)
3. Erläuterung der Betroffenenrechte
4. Verarbeitungen nach Zwecken/Funktionen geordnet, zum Beispiel:
   a. Bei reinem Lesen der Seite
   (nicht bei Aufruf der Seite! Unter dieser Rubrik sollten auch Tools genannt werden, die beim einfachen Aufruf der Seite direkt mit verwendet werden. Und man vermeide bitte jegliche Wendung wie „bei Benutzung dieser Seite willigen Sie ein, dass…“ Die Datenschutzerklärung ist eine reine Information, keine Einwilligungserklärung!)
   b. Bei Kontaktaufnahme per E-Mail oder Kontaktformular
   c. Bei Benutzung des Webshops (nach Anmeldung und Kauf untergegliedert)
   d. Bei Anmeldung zum Newsletter
   etc.

Achtung: Bei einer Kombination der Gliederung nach Zwecken und der Auflistung der Tools sollte man darauf achten, dass die Gliederung nicht verwirrend wird. Man findet oft Datenschutzerklärungen, die unter einem gesonderten Punkt erläutern, welche direkt Daten beim Aufruf der Seite erhoben werden, nachfolgend aber eingebundene Tools erläutern, die auch schon bereits beim Aufruf der Seite personenbezogene Daten einsammeln. Eine solche Zersplitterung von Informationen mindert die Verständlichkeit und könnte abgemahnt werden.

Der Inhalt

Unabhängig vom Aufbau der Datenschutzerklärung sind folgende Informationen immer zu liefern:

• der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
• die Kontaktdaten des Datenschutzbeauftragten, wenn es einen gibt;
• welche Betroffenenrechte die Person hat, deren Daten verarbeitet werden (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Datenübertragbarkeit, Beschwerde bei einer Aufsichtsbehörde, und wenn die Verarbeitung auf einer Einwilligung beruht, das Recht auf Widerruf dieser Einwilligung);
• welche Arten personenbezogener Daten verarbeitet werden;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden. Hier sei an die Verständlichkeit erinnert;
• die Rechtsgrundlage für die Verarbeitung (hier sollte man einen Experten zurate ziehen, um diese einmal abzuklären);
• die Speicherdauer der Daten oder, falls es nicht möglich ist, die vorherzusehen, die Kriterien für die Festlegung der Speicherdauer;
• wenn man die Daten an Geschäftspartner weiterleitet, in einer Cloud lagert oder in irgendeiner Weise weiteren Unternehmen oder Personen außerhalb des Unternehmens offenlegt, müssen die Kategorien von Empfängern genannt werden. Das heißt, benutzt man in seinem Unternehmen eine Cloud zur Lagerung der erhobenen Daten, muss dieser Umstand genannt werden. Es muss allerdings nicht die konkrete Cloud genannt werden;
• wenn man die Daten an Empfänger in Ländern außerhalb der EU übermitteln möchte, muss in der Datenschutzerklärung stehen, ob ein Angemessenheitsbeschlusses der EU-Kommission zum Datenschutzniveau in diesem Land besteht oder nicht. Falls kein Angemessenheitsbeschluss besteht, müssen vom Empfänger im Ausland angemessenen Garantien gegeben worden sein und es muss in der Datenschutzerklärung angegeben werden, wo und wie diese Garantien eingesehen werden können. Auch in diesem Fall lohnt es sich, einen Experten hinzuzuziehen, um die Rechtmäßigkeit der Übermittlung der Daten zu prüfen, auf welcher Grundlage sie stattfinden kann und wie diese in einer Datenschutzerklärung kommuniziert werden kann);
• wenn man automatisierte Entscheidungsfindung oder Profiling vornimmt, welche Logik dabei involviert ist und welche Tragweite und angestrebte Auswirkung diese Verarbeitung für die betroffene Person hat.
• ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist;
• ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen;
• welche möglichen Folgen die Nichtbereitstellung der Daten für die betroffene Person haben würde.

Muster für Datenschutzerklärungen

Muster für Datenschutzerklärungen für Webseiten sind allenthalben zu finden und das Internet bietet auch – zum Teil kostenpflichtige – Generatoren.

Grundsätzlich reicht aber ein formloser Text, der die oben genannten Informationen durchgeht. Es gibt keine Vorgaben außer der Präzision, Transparenz und Verständlichkeit.

Ein Beispiel für eine Datenschutzerklärung ohne Schnickschnack findet man bei den Verfassern dieses Textes.

Wer schreibt Datenschutzerklärungen?

Die Caladan GmbH ist erfahren darin, Datenschutzerklärungen schnell, präzise und rechtssicher zu erstellen. Sie können das Erstellung einer Datenschutzerklärung durch die Caladan GmbH direkt über unseren Webshop buchen.

Nochmal in trocken!

• Art. 12–14 DS‑GVO,
• Erwägungsgründe 60–62 DS‑GVO,
• §§ 13–15 TMG.

Wo erfahre ich mehr darüber?

• Die deutsche Datenschutzkonferenz liefert weitere Details in ihrem Kurzpapier Nr. 10, Informationspflichten bei Dritt- und Direkterhebung.
• Der EDSA macht äußerst detaillierte Vorgaben zu Datenschutzerklärungen auf Webseiten mit den Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01, die von seiner Vorgängerorganisation erstellt wurden, der „Datenschutzgruppe nach Artikel 29“. Das Dokument behandelt im allgemeinen etwas breiter die Transparenzpflichten, was Betroffenenrechte mit einbezieht (Pflicht 4).