Beitrag teilen
HOME
/
blog
/
Datenschutzerklärung: Unsere einfache Checkliste für die Gestaltung

Datenschutzerklärung: Unsere einfache Checkliste für die Gestaltung

Daniel Lösch

Senior Privacy Expert & Product Owner

June 2, 2023

3 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Alle Websites, die personenbezogene Daten erheben, benötigen gemäß DSGVO eine Datenschutzerklärung, unabhängig davon, ob sie von Unternehmen oder Privatpersonen betrieben werden.

Eine fehlende oder unzureichende Datenschutzerklärung kann zu Sanktionen, Wettbewerbsrecht-Verstößen und möglichen Image-Schäden führen.

Die Datenschutzerklärung muss eine Reihe von Informationen enthalten, wie die Art der gesammelten Daten und deren Verwendungszweck.

Bei der Verwendung von Cookies, insbesondere technisch nicht notwendigen Cookies, ist eine aktive Einwilligung des Nutzers erforderlich.

In diesem Artikel erfahren Sie:

  • welche Webseiten eine Datenschutzerklärung benötigen
  • welche Konsequenzen bei unzulänglichen Datenschutzerklärungen drohen
  • wie eine rechtskonforme Datenschutzerklärung aussieht
  • was Sie bei der Datenschutzerklärung bezüglich Cookies beachten müssen

Benötigt wirklich jede Internetseite eine Datenschutzerklärung? Die Antwort auf diese Frage gibt die Datenschutzgrundverordnung (DSGVO). In dieser ist geregelt, dass jeder, der personenbezogene Daten (etwa IP-Adressen) erhebt, der betroffenen Person spätestens zum Zeitpunkt der Erhebung gewisse Informationen zur Verfügung stellen muss.

Die Umsetzung dieser Informationspflicht erfolgt durch Zurverfügungstellung einer Datenschutzerklärung (sogar vorzugswürdig ist die Bezeichnung „Datenschutzhinweis“ oder „Datenschutzinformationen“; diese Begriffe haben sich aber jedenfalls für Webseiten noch nicht durchgesetzt).

Diese Regelung der DSGVO gilt unabhängig davon, ob die Internetseite durch ein Unternehmen oder eine Privatperson betrieben wird. Auch als Privatperson muss Ihre Homepage eine Datenschutzerklärung enthalten, insoweit eine Verarbeitung personenbezogener Daten erfolgt.

Konsequenzen für fehlende und unzureichende Datenschutzerklärungen

Eine fehlende oder unzureichende Datenschutzerklärung kann unangenehme Folgen haben:

  • Eine fehlende oder unzureichende Datenschutzerklärung begründet einen Verstoß gegen die DSGVO. Diese sieht in solchen Fällen verschiedene Sanktionsmaßnahmen vor, die die Aufsichtsbehörden verhängen können. Die Sanktionsmaßnahmen der DSGVO sollen abschreckend sein. Folge eines Verstoßes kann unter anderem die Verhängung eines Bußgeldes sein, das im Extremfall theoretisch bis zu 20 Millionen EUR bzw. bis zu 4 % des weltweiten Jahresumsatzes betragen kann.
  • Neben einer datenschutzrechtlichen Sanktionsmaßnahme kann die fehlende beziehungsweise unzureichende Datenschutzerklärung auf einer Webseite auch einen Verstoß gegen das Wettbewerbsrecht darstellen. Hier müssen Unternehmen aufpassen. Denn Konkurrenten können diesen Verstoß gegebenenfalls abmahnen und gegebenenfalls Schadensersatz fordern.
  • Zuletzt besteht bei allen datenschutzrechtlichen Verstößen stets die Gefahr eines „Imageschadens“. Der Datenschutz hat in den letzten Jahren, insbesondere durch die Einführung der Datenschutzgrundverordnung, erheblich an Bedeutung gewonnen. Er ist mittlerweile im Bewusstsein von Kunden und Webseitenbesuchern tief verankert. Letztlich führt ein Verstoß daher auch zu einem mittelbaren Schaden für Unternehmen.

Wie muss die Datenschutzerklärung für Ihre Webseite gestaltet sein, damit sie rechtskonform ist?

Zweck der Datenschutzerklärung ist, die betroffenen Personen vor der Erhebung ihrer personenbezogenen Daten darüber aufzuklären, zu welchen Zwecken die Verarbeitung ihrer personenbezogenen Daten erfolgt. Die genauen Anforderungen an den Inhalt einer Datenschutzerklärung sind in Art. 13, 14 DSGVO (hier zu finden) geregelt.

Eine Datenschutzerklärung muss in jedem Fall folgende Fragen beantworten:

  • Welches Unternehmen beziehungsweise welche Privatperson ist Verantwortlicher im Sinne des Datenschutzes? Hat der Verantwortliche einen Datenschutzbeauftragten?
  • Welche personenbezogenen Daten werden genau erhoben und was passiert anschließend mit diesen?
  • Werden die personenbezogenen Daten an andere Unternehmen übermittelt?
  • Werden die jeweiligen Daten in Länder außerhalb der Europäischen Union (EU), wo das Schutzniveau für diese Daten typischerweise niedriger ist, übermittelt?
  • Auf Basis welcher Rechtsgrundlage erfolgt die Verarbeitung der jeweiligen personenbezogenen Daten?
  • Wann werden die personenbezogenen Daten wieder gelöscht?
  • Welche Rechte hat die Person, deren personenbezogene Daten verarbeitet werden, gegenüber dem Verantwortlichen?
  • Wer ist zuständige Behörde, an die sich die betroffenen Personen wenden können, wenn aus ihrer Sicht ein Verstoß gegen das Datenschutzrecht vorliegt?

Die Antworten auf diese Fragen müssen in klarer und verständlicher Sprache im Rahmen der Datenschutzerklärung dargestellt werden.

Für die Datenschutzerklärung Ihrer Webseite bedeutet das, dass insbesondere alle Verarbeitungsvorgänge der personenbezogenen Daten verständlich und vollständig für den Nutzer dargestellt werden. Dies umfasst insbesondere das Erfassen von Logdaten, die Anmeldung zum Newsletter, die Verwendung eines Kontaktformulars, die Nutzung von Social-Plug-ins, die Einbindung von Google Maps und die Nutzung von Cookies.

Bei der Verwendung von allgemeinen Textbausteinen beziehungsweise mittels Datenschutzerklärungsgenerator erstellter Datenschutzerklärungen besteht die Gefahr, dass die Darstellung der verschiedenen Verarbeitungsprozesse unvollständig oder unrichtig erfolgt. Wir empfehlen daher, stets einen Experten die Datenschutzerklärung prüfen zu lassen.

Cookies in der Datenschutzerklärung – was müssen Sie beachten?

Fast jede Internetseite benutzt Cookies. Was gilt es hier zu beachten?

Bei Cookies müssen Sie zwischen zwei Arten von Cookies unterscheiden: Es gibt einerseits Cookies, die technisch zwingend notwendig sind, um Ihre Webseite zu betreiben (etwa Session-Cookies). Andererseits gibt es technisch nicht notwendige Cookies (etwa Tracking-Cookies).

Sie müssen Betroffene über die Verwendung der jeweiligen Cookies aufklären, unabhängig davon, ob es sich um einen technisch zwingend notwendigen oder technisch nicht notwendigen Cookie handelt. Sofern Sie auch technisch nicht notwendige Cookies verwenden (etwa Google Analytics oder Facebook), müssen Sie grundsätzlich vor Setzen des Cookies die aktive Einwilligung des Nutzers einholen. Dies geschieht über ein sogenanntes Cookie-Banner. Üblicherweise wird im Rahmen des Cookie-Banners auch über die jeweiligen Cookies aufgeklärt.

Interessante Zusatzinfo: Die Pflicht zur Information besteht hinsichtlich Cookies unabhängig davon, ob eine Verarbeitung personenbezogener Daten erfolgt oder Daten ohne Personenbezug verarbeitet werden.

Datenschutzerklärungen abseits der Webseite? Na klar!

Sie benötigen eine Datenschutzerklärung für Ihre Homepage, damit Sie Ihrer Informationspflicht, welche sich aus der DSGVO ergibt, nachkommen. Diese besteht, weil Sie personenbezogene Daten von Webseiten-Nutzern bei Nutzung Ihrer Internetseite erheben.

Personenbezogene Daten werden aber auch in vielen anderen Fällen erhoben. Dies hat zur Folge, dass auch in vielen anderen Fällen Datenschutzerklärungen erforderlich sind, um die geltenden datenschutzrechtlichen Regeln einzuhalten. Typische weitere Anwendungsfälle sind etwa Datenschutzerklärungen für Beschäftigte und Datenschutzerklärungen für Bewerber.

Wir hoffen, Ihnen hier einen guten Überblick über das Thema Datenschutzerklärung gegeben zu haben. Sofern Sie noch Rückfragen zu dieser umfangreichen Thematik haben, sprechen Sie uns gerne an. Wir freuen uns auf Sie.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 5, 2023
10 min
Datenschutz-Folgenabschätzung: So funktioniert das Risiko-Werkzeug

Erfahren Sie in unserem neuesten Blogartikel, wie die Datenschutz-Folgenabschätzung (DSFA) Unternehmen dabei unterstützt, personenbezogene Daten effektiv zu schützen. Lesen Sie, welche Kriterien eine DSFA erforderlich machen und wie Unternehmen die Risiken für die Rechte und Freiheiten der Betroffenen bewerten können. Zudem erklären wir, warum die DSFA kein einmaliger Prozess ist, sondern regelmäßig durchgeführt werden sollte.

Lesen
June 5, 2023
Deutsche Unternehmen fürchten das Datenschutz-Risiko

In den vergangenen zwei Jahren waren Verstöße gegen Datenschutzbestimmungen für nur 6 % der Befragten überhaupt relevant. Dies wird sich in den kommenden Jahren erheblich ändern. So sehen es zumindest die fast 200 befragten Entscheider aus Unternehmen ab 250 Mitarbeitern, die an der Studie „Crisis Management“ der Kanzlei Noerr teilnahmen.

Lesen
November 24, 2023
7 min
ISO 27001:2022 – Das ist der neue ISMS-Standard 2023

ISO/IEC 27001: Die Norm für Informationssicherheitsmanagementsysteme (ISMS) ist ein wesentlicher Leitfaden für Unternehmen. Erfahren Sie, wie diese Norm die Informationssicherheit gewährleistet, Risiken mindert und Wettbewerbsvorteile schafft. Die jüngste Aktualisierung, ISO/IEC 27001:2022, reflektiert moderne Bedrohungen, wie Cybersicherheit und Datenschutz, und bietet erweiterte Kontrollmechanismen. Entdecken Sie die Neuerungen, Umstellungsfristen und die Bedeutung dieser Norm für Ihr Unternehmen in 2023.

Lesen
TO TOP