Die Datenschutzerklärung darf auf keiner Website fehlen – das regelt die DSGVO. Aber was genau bezweckt sie eigentlich? Und was muss darin stehen, damit sie den Anforderungen der DSGVO gerecht wird? Lesen Sie jetzt weiter, wenn Sie Antworten auf diese Fragen brauchen!
Wer braucht eine Datenschutzerklärung auf der Website?
Und warum gehört die Datenschutzerklärung überhaupt auf Ihre Website? Das ist schnell erklärt. Eine Datenschutzerklärung brauchen Sie immer dann, wenn auf Ihrer Website personenbezogene Daten auf jegliche Weise erhoben, gespeichert und verarbeitet werden. Das gilt auch bei vermeintlich „persönlichen“ Seiten, die Sie vielleicht nur anlässlich eines großen Geburtstags erstellt haben. Hier gelangen zumindest IP-Adressen der Nutzer zum Server-Host – auch wenn sie dort in der Regel anonymisiert gespeichert werden sollten.
Im Grunde ist die Datenschutzerklärung dafür da, die Datenerhebung möglichst transparent zu machen. Mit ihr können Nutzer nachvollziehen, warum und auf welche Weise ihre personenbezogenen Daten erhoben und weiterverwendet werden. Nicht immer ist das nämlich sofort klar: Wer seine Daten fürs Online-Shopping eingibt, geht davon aus, dass diese für die Kaufabwicklung genutzt werden – denkt aber nicht unbedingt daran, dass einige Daten in Statistiken oder Analysen des Kaufverhaltens Verwendung finden!
Daraus ergibt sich: Die Datenschutzerklärung auf Ihrer Website muss …
- verständlich sein: Nutzer sollten ohne Anwaltssprech-Übersetzer verstehen, wie Sie deren Daten verarbeiten.
- aktuell sein: Führen Sie jedes Tool, jedes PlugIn, jeden Dienstleister auf. Simple Datenschutzerklärungs-Generatoren lohnen sich deshalb nur bedingt, denn jede Änderung muss sofort eingetragen werden. Setzen Sie lieber auf ein smartes Tool, sofern Sie keinen Datenschutzbeauftragten haben.
Wo muss die Datenschutzerklärung stehen?
Am besten dort, wo Nutzer sie leicht finden. Üblicherweise bauen Website-Betreiber im Footer-Menü ganz am Ende der Website ein Link zur Datenschutzerklärung ein. Ist sie versteckt, stellt das nur ein unnötiges Hindernis für die User dar!
Die Datenschutzerklärung auf der Website – das muss rein
Der Inhalt der Website-Datenschutzerklärung ist mit der Informationspflicht nach Artikel 13 DSGVO ganz eindeutig geregelt.
Kontaktmöglichkeiten dürfen in keiner Website-Datenschutzerklärung fehlen
Geben Sie Name und Kontaktdaten des Verantwortlichen sowie – wenn vorhanden – des Datenschutzbeauftragten an. An diese Personen können sich Website-Nutzer wenden, falls sie Fragen bezüglich der Verarbeitung ihrer Daten haben.
Zwecke und Rechtsgrundlage der Verarbeitung
Wozu sammeln Sie die Daten eigentlich? Machen Sie hier genaue Angaben und denken Sie dabei daran, eine Rechtsgrundlage für die Verarbeitung anzugeben. Dazu können Sie auf die Bedingungen aus Artikel 6 DSGVO zurückgreifen. Sammeln Sie Daten zur Wahrung berechtigter Interessen (Buchstabe f), müssen Sie außerdem ausführen, um welche berechtigten Interessen es sich dabei handelt. Ein ganz einfaches Beispiel dafür wäre zum Beispiel: Eine Lieferservice-Website hat berechtigtes Interesse an den Daten, weil es sie an den ausgewählten Lieferdienst weitergeben muss, damit dieser Ihnen die Pizza liefern kann. Das berechtigte Interesse darf dabei keine Grundrechte verletzen.
Empfänger, die die erhobenen Daten erhalten
In die Datenschutzerklärung Ihrer Website gehört selbstverständlich eine Erläuterung, an welche Dienstleister die Daten der Nutzer weitergegeben werden. Das sind zum Beispiel die Anbieter von Tracking-Tools wie Google Analytics oder bestimmter PlugIns, die die Funktionalität Ihrer Website sichern. Werden die Daten dabei in ein Drittland übermittelt (d.h. ein Land, in dem die europäische DSGVO nicht gilt), müssen Sie darauf gesondert hinweisen. Denn hierbei ist davon auszugehen, dass die Daten womöglich nicht nach den Sicherheitsstandards der DSGVO verarbeitet/gespeichert werden.
Speicherdauer der laut Datenschutzerklärung auf Ihrer Website erhobenen Daten
Geben Sie an, wie lange Sie erhobene Daten speichern. Sie können keinen festen Zeitraum abschätzen? Dann weisen Sie in der Website-Datenschutzerklärung darauf hin, nach welchen Kriterien sich die Speicherdauer richtet bzw. was ausschlaggebend für das Löschen ist. Als Grundsatz gilt hier: Nicht länger als nötig oder gesetzlich vorgeschrieben.
Betroffenenrechte der Website-Nutzer
Weisen Sie Nutzer auf deren Rechte bzgl. der Datenverarbeitung hin.
- Auskunftsrecht: Nutzer dürfen jederzeit eine Auskunft einfordern, welche personenbezogenen Daten Sie gespeichert haben.
- Widerrufsrecht: Jeder hat das Recht, der weiteren Nutzung der Daten zu widersprechen. Dieser Widerspruch gilt dabei nicht rückwirkend.
- Beschwerderecht: Ist ein Nutzer der Ansicht, dass Sie auf Ihrer Website gegen die DSGVO verstoßen, darf er das bei der entsprechenden Aufsichtsbehörde melden.
Dieser Hinweis sollte dabei nicht im Text untergehen. Stellen Sie ihn stattdessen deutlich heraus.
Weitere Angaben, die in die Datenschutzerklärung Ihrer Website gehören
Sofern im Hintergrund Ihrer Website eine automatisierte Entscheidungsfindung läuft, müssen Sie in Ihrer Datenschutzerklärung ebenfalls darauf hinweisen. Das kann zum Beispiel eine Bonitätsprüfung sein oder ein sonstiger Algorithmus, der Daten zum Erstellen eines Profils nutzt. Abschließend sollten Sie außerdem Angaben machen, ob die Bereitstellung der Daten verpflichtend ist oder auf einer gesetzlichen Basis beruht.
Die unter diesen Angaben gesammelten Daten dürfen Sie nur wie angegeben verarbeiten. Möchten Sie gewisse Daten nun doch noch anderweitig verwenden, ist das nur im Rahmen einer neuen Datenschutzerklärung mit allen nötigen Angaben gestattet.
Was passiert, wenn ich keine Datenschutzerklärung habe?
Dann verstoßen Sie als Websitebetreiber gegen Ihre in der DSGVO verankerte Informationspflicht. Je nachdem wie klein Ihre Website ist, mag das für eine ganze Weile auch gar nicht weiter auffallen. Bemerkt es jedoch ein Nutzer – oder gar ein Konkurrent – kann er es bei der Aufsichtsbehörde melden und Sie dürfen mit einem Bußgeld bis in Millionenhöhe rechnen. Kümmern Sie sich also darum, eine vollständige, DSGVO-konforme Datenschutzerklärung auf Ihrer Website einzubinden!