Datenschutzerklärung für deine Website – So erstellst du sie DSGVO-konform

In erster Linie wird Datenschutz definiert als der Schutz vor dem Missbrauch und der missbräuchlichen Datenverarbeitung personenbezogener Daten. Ebenfalls zum Datenschutz gehören der Schutz der Privatsphäre und der Persönlichkeitsrechte. Der Zweck des Datenschutzes ist der Schutz des Rechts jedes Einzelnen auf informelle Selbstbestimmung. Als Gründer, Selbstständiger oder Unternehmer betreibst du wahrscheinlich deine eigene Website. Daher bist du dazu verpflichtet eine Datenschutzerklärung auf deiner Website anzugeben. Wir zeigen dir in diesem Beitrag, worauf du achten solltest und wie du eine Datenschutzerklärung auf deiner Website erstellen kannst.

Das erwartet dich heute:

Datenschutzrecht in Deutschland und in der Europäischen Union
Das Gesetz mit dem langen Namen
Datenschutz im Internet – wichtiger denn je
Erstellen einer Datenschutzerklärung
Datensicherheit mit SSL-Zertifikat erhöhen
Fehler einer Datenschutzerklärung – rechtliche Folgen

Datenschutzrecht in Deutschland und in der Europäischen Union

In Deutschland gehört das Recht auf informelle Selbstbestimmung zu den allgemeinen Persönlichkeitsrechten. Die informelle Selbstbestimmung wurde durch das Bundesverfassungsgericht mit dem Volkszählungsurteil 1983 als Ausprägung der Menschenwürde anerkannt und ist somit den Grundrechten zuzuordnen. Rechtlich lässt es sich aus Art. 2 Abs. 1 GG (Grundgesetz) herleiten. Da der Schutzbereich sehr weit gefasst ist, betrifft er alle Daten jedes Einzelnen und somit auch sämtliche Nutzungen persönlicher Daten durch Websites im Internet, dazu gehören auch Cookies und IP-Adressen. Eingeschränkt werden darf das Recht auf informelle Selbstbestimmung nur anhand von gesetzlicher Rechtsgrundlagen. Der Schutz umfasst in seinen negativen Ausformungen zudem das Recht auf Nichtwissen.

Bundesdatenschutzgesetz

Den Umgang mit personenbezogenen Daten regelt auf Bundesebene das Bundesdatenschutzgesetz (BDSG) und auf Länderebenen das Datenschutzgesetz der Länder. Für bestimmte Bereiche gibt es Sonderregelungen und Ergänzungen wie zum Beispiel das Telekommunikationsgesetz. In §6 Bundesdatenschutzgesetz kannst du nachlesen, dass das Gesetz Betroffenen bezüglich der Verarbeitung ihrer Daten durch öffentliche beziehungsweise nicht-öffentliche Stellen einige Rechte zugesteht. Das betrifft insbesondere die Bereiche:

• Auskunft, also die vier W‘s, welche Daten wo und warum gespeichert werden und woher sie stammen
• Untersagung der Weiterleitung von Daten an Dritte
• Löschung beziehungsweise Sperrung der Daten
• Benachrichtigung, wenn Daten falsch sind
• Beschwerdeerhebung bei der jeweils zuständigen Datenschutzaufsichtsbehörde

Gemäß Bundesdatenschutzgesetz unterliegen nicht nur Verarbeitung und Nutzung personenbezogener Daten dem Verbot mit Erlaubnisvorbehalt, sondern bereits die Erhebung. Verbot mit Erlaubnisvorbehalt bedeutet, dass für Erhebung, Verarbeitung und Nutzung von Daten entweder eine gesetzliche Grundlage vorliegen muss oder der Betroffene ausdrücklich zugestimmt hat. Gemäß §3a BDSG gehört zu den wichtigen Grundsätzen des Datenschutzes das Prinzip der Datensparsamkeit und der Datenvermeidung.

Europäische Union und Datenschutzrecht

Nicht nur in Deutschland, sondern auch in der EU ist gemäß Artikel 8 Charta der Grundrechte der Europäischen Union (EU) der Schutz personenbezogener Daten ein Grundrecht. Dabei räumt Art. 8 Abs. 2 Satz 2 dem Betroffenen das Recht auf Auskunft und die Berichtigung seiner betroffenen Daten ein. Zur Verarbeitung bedarf es gemäß Art. 2 Abs. 2 Satz 1 entweder der Einwilligung des Betroffenen oder es muss eine gesetzlich legitimierte Grundlage vorliegen.

Datenschutzgrundverordnung DSGVO

Die ab dem 25. Mai 2018 für alle EU-Mitglieder zwingend geltende Datenschutzgrundverordnung (DSGVO) beinhaltet neben den allgemein gültigen Richtlinien für den Schutz personenbezogener Daten die Gewährleistung des freien Datenverkehrs sowie Datenschutzrichtlinien für die elektronische Kommunikation.

Was sind personenbezogene Daten?

Gemäß Art. 5 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen.“ Das heißt, dass die Informationen nicht eindeutig sein müssen, sondern auch Daten mit einbezogen werden, die auf indirektem Weg eine Identifizierung erlauben. Diese sind beispielsweise:

• Nutzerdaten, die persönlichen Informationen über den Nutzer
• Kennnummern
• IP-Adressen, Angaben bei Facebook oder Google Analytics
• Standortdaten
• Onlinekennungen
• besondere psychische, genetische, wirtschaftliche, soziale, physiologische und/oder physische Merkmale, die eine Person beschreiben respektive sich der Identität einer Person eindeutig zuordnen lassen

Verarbeitung personenbezogener Daten

Wie im bis zum Mai 2018 geltenden deutschen Datenschutzgesetz ist für die Verarbeitung der Daten eine Erlaubnis des Betroffenen nötig. Art. 6 DSGVO sagt dazu eindeutig:

Neuregelungen des DSGVO

Zu geltendem Recht kommen in der DSGVO folgende Neuregelungen hinzu:

• Art. 1 Abs. 3 beinhaltet nun den freien Verkehr personenbezogener Daten. Er darf aus Schutzgründen für natürliche Personen innerhalb der Union nicht eingeschränkt oder verboten werden.
• Art. 5 DSGVO enthält ausdrückliche Verarbeitungsgrundsätze wie beispielsweise
  • Rechtmäßigkeit
  • Richtigkeit der verarbeiteten Daten
  • Datenminimierung
  • Zweckbindung der Verarbeitung
  • Begrenzung der Speicherungszeit
  • Schutz vor unrechtmäßiger Verarbeitung
  • Schutz vor unabsichtlichem Verlust
• Art. 15 DSGVO sagt zum Thema Transparenz, dass jeder Betroffene das Recht auf Auskunft hat.
• Art. 16 DSGVO gesteht jedem ein Recht auf Berichtigung falscher Angaben zu.
• Art. 18 DSGVO räumt den betroffenen Personen das sogenannte Recht auf Vergessen werden ein, also die Datenlöschung, sobald der Speichergrund wegfällt. Die Norm legt zudem fest, dass die Daten zu löschen sind, eine der wesentlichen Neuerungen.
• Mit Einführung der neuen Datenschutzgrundverordnung wurden die Bußgelder deutlich angehoben. Sie können nun bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen.
• Ein Novum ist ebenfalls, dass die DSGVO nicht mehr zwischen öffentlichen und nicht-öffentlichen Stellen unterscheidet. Im Gegensatz zur Vergangenheit gilt das Datenschutzrecht in vollem Umfang gleichermaßen für private Unternehmen und öffentliche Stellen.
• Im Gegensatz zur Vergangenheit unterliegen gemäß dem Marktortprinzip auch nichteuropäische Unternehmen, die auf dem europäischen Markt arbeiten, dem Datenschutzrecht der Europäischen Union.
• Nationale Gesetzgeber dürfen aufgrund der Öffnungsklausel, welche die Mitglieder an die EU-Gesetzgebung bindet, keine Regelungen erlassen, die Datenschutzbestimmungen der EU abschwächen oder verstärken. Sie haben jedoch die Möglichkeit, dank zahlreicher Öffnungsklauseln die Datenschutzrichtlinien zu präzisieren oder zu erweitern, sofern sie nicht die länderübergreifende Harmonisierung gefährden.

Das Gesetz mit dem langen Namen

Am 24. Februar 2016 trat das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ in Kraft. Es handelt sich dabei um ein Gesetz, das die Abmahnung bei Verstößen gegen den Datenschutz ermöglicht. Durch die Einführung von §2 Abs. 2 Nr. 11 des Unterlassungsklagegesetzes (UKlaG) werden die Abmahnbefugnisse von Verbraucherschutzverbänden durch das sogenannte Verbandsklagerecht auf Verstöße gegen den Datenschutz erweitert.

Wörtlich heißt es im UKlaG §2 Abs. 1 Unterlassungsanspruch bei verbraucherschutzgesetzwidrigen Praktiken: „Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. Werden die Zuwiderhandlungen in einem Unternehmen von einem Mitarbeiter oder Beauftragten begangen, so ist der Unterlassungsanspruch oder der Beseitigungsanspruch auch gegen den Inhaber des Unternehmens begründet. Bei Zuwiderhandlungen gegen die in Absatz 2 Satz 1 Nummer 11 genannten Vorschriften richtet sich der Beseitigungsanspruch nach den entsprechenden datenschutzrechtlichen Vorschriften.“

Und der neu eingeführte Abs. 11 sagt über die „… Vorschriften, welche die Zulässigkeit regeln:
a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.“

Datenschutz im Internet – wichtiger denn je

Grundsätzlich gilt die Pflicht, dass jede Website eine Datenschutzerklärung beinhalten muss. Diese sollte für den Nutzer der Website einfach zu finden und nicht versteckt sein. So kannst du einfach und schnell das Vertrauen des Nutzers gewinnen.

Da Verbraucherschützer und Wettbewerbsverbände Datenverstöße künftig abmahnen und gerichtlich geltend machen können, stehen nicht nur Selbstständige, die eine eigene Homepage betreiben, sondern vor allem Unternehmen des Onlinehandels im Fokus. Dort ist Datenschutz besonders wichtig. Wie alle anderen Firmen müssen Onlinehändler, insbesondere in Verbindung mit der DSGVO, verstärkt auf die korrekte Erhebung, Nutzung und Verarbeitung der Kundendaten achten. Gemäß Telekommunikationsgesetz §13 Abs. 1 und §33 sind Besucher einer Website über die Art, den Zweck sowie den Umfang einer Erhebung und Verarbeitung beziehungsweise Nutzung der personenbezogenen Daten zu unterrichten. Zudem besteht die Vorschrift, dass du als Seitenbetreiber verpflichtet bist, deine Besucher über etwaige Widerspruchsrechte zu informieren. Diese Informationen erhalten Besucher deiner Webseite sinnvollerweise in der Datenschutzerklärung.

Ist die Datenschutzerklärung im Impressum ausreichend?

Nein, du solltest deine Datenschutzerklärung nicht im Impressum deiner Website verstecken. Aufgrund der Gesetzesvorgabe reicht ein Hinweis über den Datenschutz im Impressum nicht aus. Dies liegt vorrangig an der Annahme des Gerichts, dass der Nutzer die Informationen zum Datenschutz nicht auf der als Impressum bezeichneten Seite vermutet. Da das Anlegen eines Impressums jedoch ebenso Pflicht ist wie die Datenschutzerklärung, solltest du beide Punkte auf separaten Seiten anlegen.

Wo die Datenschutzerklärung in der Regel zu finden ist

Wenn du eine Website oder einen Onlineshop betreibst ist die sicherste Variante, alle Seiten mit einer eigenen Seite für den Datenschutz, zum Beispiel mit dem Namen Datenschutz, Datenschutzinformationen oder Datenschutzerklärung, zu verlinken. Als zulässig gilt jedoch auch, die datenschutzrechtlichen Informationen anderen Kundeninformationen beizuordnen, zum Beispiel der AGB (allgemeine Geschäftsbedingungen). Allerdings muss die Verlinkung zur Datenschutzerklärung transparent erfolgen. Das heißt, alle Besucher deiner Seite sehen auf den ersten Blick, wo sie die Datenschutzinformationen finden.

Zu den wichtigsten Punkten in einer Datenschutzerklärung gehören:

1. Der grundsätzliche Umgang mit personenbezogenen Informationen
2. Weitergabe von Informationen zur Identitätsprüfung und/oder Bonitätsprüfung
3. Welche Technik zum Einsatz kommt
4. Die Verwendung von Google AdWords Conversion-Tracking
5. Der Einsatz von Google AdSense
6. Die Verwendung von Social-Plugins, von Youtube-Videos, Dienstleistern der Sparten Remarketing, Empfehlungsberatung, Retargeting
7. Der Einsatz von Live-Support-Systemen
8. Die Verwendung von Webanalysediensten
9. Bei Kontaktaufnahmen für die Kundenbewertungsanfragen

Datenschutz und Internetpräsenz, nicht immer ganz einfach

Warum das Internet den Datenschützern „ein Dorn im Auge“ ist, lässt sich relativ einfach erklären. Während des Besuchs deiner Website sammeln spezielle Programme eine Vielzahl von Informationen über den Nutzer. Eine Reihe der Daten betreffen den Datenschutz. Um den Besucher auf diese durchaus gängigen Verfahren aufmerksam zu machen, ist die Datenschutzerklärung ein wichtiges Instrument.

Erstellen einer Datenschutzerklärung

Um eine Datenschutzerklärung ins Netz zu stellen, musst du als Erstes die Datenflüsse ermitteln. Die Kernfrage lautet, wo ein Browser beim Besuch einer Website Daten für den Nutzer bewusst oder unbewusst übermittelt. Im Anschluss musst du die Daten näher betrachten, die Rückschlüsse über die persönlichen, wirtschaftlichen, sachlichen, sozialen und/oder tatsächlichen Verhältnisse erlauben. Zu diesen personenbezogenen Daten zählen unter anderem Name, Adresse, E-Mail-Adresse, Telefonnummer, Geschlecht, Fotos, Standortdaten, Bankverbindung und Ähnliches sowie die gerne vergessene IP-Adresse. Zwiespältig ist dabei die Betrachtung der dynamischen IP-Adresse, die sich nicht dauerhaft einer Person zuordnen lässt. Ein Blick auf die Datenerhebung, Datenverarbeitung und Datennutzung schafft Klarheit, welche Verfahren zum Einsatz kommen.

Was muss eine Datenschutzerklärung beinhalten?

Je nachdem welche Datenverwendungen auf deiner Website oder deinem Online-Shop erfolgen, musst du die entsprechenden Angaben wahrheitsgemäß und vollständig in der Datenschutzerklärung aufnehmen. Dabei werden personenbezogene Daten wie eben beschrieben grundsätzlich erhoben. Ebenso gehört zur allgemeinen Datenerhebung die IP-Adresse, damit die Homepage überhaupt aufgerufen werden kann. Außerdem werden Daten, die der Browser automatisch übermittelt wie beispielsweise Betriebssystem, Browserversion- oder typ, besuchte Websites, erhoben. Desweiteren werden Server Logfiles automatisch erhoben und gespeichert. Diese sogenannten Protokolldateien speichern Prozesse, die auf dem Server ablaugen, wie zum Beispiel Seitenaufrufe oder Fehlermeldungen bei einer URL. Hinzu kommen Daten aus verschiedenen Kategorien:

• Kontaktformulare
• Newsletter
• Kommentarfunktionen
• Bestellmasken
• Gewinnspiele
• Nutzerforen
• Online-Bewerbungen
• Webanalyse

Cookies, kleine Textdateien für die Werbung

Bei Cookies handelt es sich um kleine Textdateien, die im Browser eines Geräts gespeichert werden und somit je nach Form im Nachgang eine Wiedererkennung des Nutzers gewährleisten. Solange sich ein Cookie im Browser befindet, bleiben Informationen wie zum Beispiel noch nicht abgeschlossene Bestellungen, vorhanden. Datenschutztechnisch sind allerdings nur die Cookies von Interesse, die Angaben wie IP-Adressen oder Nutzernamen, über die sich die Identität des Nutzers feststellen lässt, beinhalten.

Facebook, präsenter als in der Regel bewusst

Es gibt eine Reihe von Cookies, die das Surfverhalten der Nutzer analysieren. Eines der präsentesten ist ein Cookie, das Facebook bei der Nutzung eines angebotenen Like-Buttons auf eine Website setzt. Die Analyse wertet aus, welche URL ein Nutzer wann aufgerufen hat. Besitzt der Nutzer zugleich einen Facebook-Account, lässt sich so problemlos die Person ermitteln. Der Facebook-Nutzer erhält zu seinem Surfverhalten passende Werbeangebote angezeigt. Das Landgericht Düsseldorf entschied, dass die Verwendung eines Facebook-Like-Buttons einer ausdrücklichen Zustimmung des Nutzers bedarf. Der Hinweis alleine in der Datenschutzerklärung genügt nicht.

Google Analytics, kaum bekannt und doch so präsent

Ein nicht zu unterschätzendes Programm, das sich über Cookies in den Browser eines Nutzers „einschleicht“, ist Google Analytics. Dieser Dienst untersucht unter anderem die Herkunft von Besuchern einer Website, die Zeit, die sie auf einer Seite verbringen sowie den Einsatz von Suchmaschinen. Durch die Auswertung sind bessere Kontrollen der Erfolge einer Werbekampagne möglich. Schätzungsweise 50 bis 80 Prozent aller Websites setzen Google Analytics ein. Datenschutzrechtlich ist das Webanalyseprogramm sehr problematisch und deshalb auch umstritten. Eigentlich wäre ein Hinweis auf die Nutzung von Google Analytics in einer Datenschutzerklärung nicht ausreichend. Es müsste für jede Verwendung ein Vertrag unterschrieben werden. Das lässt sich in der Praxis jedoch nicht durchsetzen.

Google AdSense, ein Werbedienst von Google

Bei dem Werbedienst Google AdSense besteht eine ähnliche Problematik wie bei Google Analytics. Google schaltet mit AdSense auf den damit ausgestatteten Websites Werbeanzeigen. Dabei beteiligt Google den Seitenbetreiber mit den durch die Aufrufe über AdSense generierten Einnahmen. Da AdSense mit Cookies arbeitet und die IP-Adresse an Google übermittelt, ist der Nutzer in der Datenschutzerklärung über den Einsatz von Google AdSense zu informieren. Um dem Datenschutz Genüge zu tun, verpflichtet Google seit September 2015 die Nutzer von AdSense zu Cookie-Hinweisen auf ihrer Website.

Twitter, ein Portal schleicht sich ein

Wer zum Tweeten von Inhalten den Tweet-Button von Twitter nutzt, also das Plug-in verwendet, setzt Cookies, die das Surfverhalten tracken und die Webseitenbesuche auswerten. Bereits durch den Aufruf einer entsprechenden Internetseite wird der zugrunde liegende Code durch den Browser ausgeführt.

Weitere Dienste, die sich in den Rechner schmuggeln

Neben den bereits genannten Diensten gibt es eine Reihe weiterer kostenloser professioneller Anbieter wie zum Beispiel Criteo, Xing, Webtrekk oder Pinterest, die bei einer Datenschutzerklärung aufzuführen sind. Es ist dabei nicht nur auf die Art, den Zweck sowie den Umfang und die Verwendung der Datenerhebung hinzuweisen, sondern auch, dass die Datenverarbeitung in den USA erfolgt und es dort kein so hohes Datenschutzniveau wie innerhalb der Europäischen Union gibt. Der Hinweis muss in einer verständlichen Sprache formuliert sein und bei Änderungen aktualisiert werden.

Widerspruchsrecht und Auftragsdatenverarbeitung

§15 Telemediengesetz (TMG) zwingt die Betreiber einer Website, auf das Widerspruchsrecht gegen die Datenerfassung hinzuweisen, wenn diese Daten zum Zweck der Marktforschung, einer bedarfsgerechten Gestaltung der Telemedien oder für Werbezwecke erhoben und dafür pseudonymisierte Nutzerprofile erstellt werden. Zudem schreibt das Bundesdatenschutzgesetz (BDSG) vor, dass es für die Auftragsdatenverarbeitung zwischen Auftraggeber und Auftragnehmer eine schriftliche Vereinbarung geben muss. Schwierig wird es dabei für den Auftraggeber, eine solche Vereinbarung zu treffen, wenn der Auftragnehmer im Ausland sitzt.

Allgemeine Datenschutzerklärung – Muster

Wenn du dir bei der Erstellung der Datenschutzerklärung für deine Website oder einen Online-Shop unsicher bist, kannst du dir Hilfe von zahlreichen Mustern im Internet holen. Online gibt es kostenlose Vorlagen für eine Texterstellung. Überlege dir, welche Punkte für deine Website relevant sind und passe die Texte entsprechend an. Du bist jedoch selbst dafür verantwortlich die Texte auf ihre Richtigkeit und Vollständigkeit zu prüfen.

Datenschutzerklärung Website Generator

Neben einer Musterlösung hast du die Möglichkeit dir mithilfe eines Online-Generators eine DSGVO-konforme Datenschutzerklärung erstellen zu lassen. Anhand einer Anleitung kannst du die für dich relevanten Felder ausfüllen. Am Ende wird die Datenschutzerklärung automatisch für dich generiert. Allerdings solltest du alle Angaben überprüfen, bevor du die Inhalte auf deine Website stellst. Bei der Auswahl eines Generators ist jedoch Vorsicht geboten, da nicht jeder Anbieter diesen kostenfrei zur Verfügung stellt.

Datensicherheit mit SSL-Zertifikat erhöhen

Im Zuge der Neuregelung der DSGVO gilt seit dem 25. Mai 2018, dass du als Websitebetreiber ein SSL-Zertifikat für Formulare auf deiner Website oder in deinem Online-Shop verwenden musst. Mit dem „Secure-Sockets-Layer“-Zertifikat verschlüsselst du die Kommunikation deiner Daten, die vom Computer zum Server übertragen werden. Auch hier kannst du das Vertrauen deiner Website-Nutzer gewinnen, indem du in der Datenschutzerklärung auf die SSL-Verschlüsselung (HTTPS-Protokoll) hinweist.

Fehlen einer Datenschutzerklärung – rechtliche Folgen

Ein Verstoß gegen den Datenschutz durch eine fehlerhafte oder fehlende Datenschutzerklärung kann teuer werden. Vorgesehen sind Bußgelder in einer Höhe von bis zu 50.000 Euro. Eine Abmahnung kann bereits dann erfolgen, wenn die Datenschutzerklärung nicht als separater Punkt auf der Website zu finden ist. Bei privaten Internetseiten wissen viele Betreiber nicht, dass die Website für den Zwang einer Datenschutzerklärung nicht unbedingt einen gewerblichen Charakter haben muss. Sobald private Websites, auf denen ein Blog betrieben wird, Online-Werbedienste oder Kommentarfunktionen einbinden, unterliegen sie der Pflicht zur Datenschutzerklärung. Im Umkehrschluss bedeutet dies, dass so gut wie keine Website ohne entsprechende Erklärung auskommt. Zudem droht den Betreibern unter Umständen eine Abmahnung durch die Konkurrenz wegen Wettbewerbsverstoßes. Dieser Ansicht folgen die Gerichte und sehen in §13 I Telemediengesetz eine wettbewerbsrechtlich relevante Marktverhaltensvorschrift vor.