Beitrag teilen
HOME
/
blog
/
Datenschutzerklärung: Unsere einfache Checkliste für die Gestaltung

Datenschutzerklärung: Unsere einfache Checkliste für die Gestaltung

Daniel Lösch

Senior Privacy Expert & Product Owner

June 2, 2023

3 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Alle Websites, die personenbezogene Daten erheben, benötigen gemäß DSGVO eine Datenschutzerklärung, unabhängig davon, ob sie von Unternehmen oder Privatpersonen betrieben werden.

Eine fehlende oder unzureichende Datenschutzerklärung kann zu Sanktionen, Wettbewerbsrecht-Verstößen und möglichen Image-Schäden führen.

Die Datenschutzerklärung muss eine Reihe von Informationen enthalten, wie die Art der gesammelten Daten und deren Verwendungszweck.

Bei der Verwendung von Cookies, insbesondere technisch nicht notwendigen Cookies, ist eine aktive Einwilligung des Nutzers erforderlich.

In diesem Artikel erfahren Sie:

  • welche Webseiten eine Datenschutzerklärung benötigen
  • welche Konsequenzen bei unzulänglichen Datenschutzerklärungen drohen
  • wie eine rechtskonforme Datenschutzerklärung aussieht
  • was Sie bei der Datenschutzerklärung bezüglich Cookies beachten müssen

Benötigt wirklich jede Internetseite eine Datenschutzerklärung? Die Antwort auf diese Frage gibt die Datenschutzgrundverordnung (DSGVO). In dieser ist geregelt, dass jeder, der personenbezogene Daten (etwa IP-Adressen) erhebt, der betroffenen Person spätestens zum Zeitpunkt der Erhebung gewisse Informationen zur Verfügung stellen muss.

Die Umsetzung dieser Informationspflicht erfolgt durch Zurverfügungstellung einer Datenschutzerklärung (sogar vorzugswürdig ist die Bezeichnung „Datenschutzhinweis“ oder „Datenschutzinformationen“; diese Begriffe haben sich aber jedenfalls für Webseiten noch nicht durchgesetzt).

Diese Regelung der DSGVO gilt unabhängig davon, ob die Internetseite durch ein Unternehmen oder eine Privatperson betrieben wird. Auch als Privatperson muss Ihre Homepage eine Datenschutzerklärung enthalten, insoweit eine Verarbeitung personenbezogener Daten erfolgt.

Konsequenzen für fehlende und unzureichende Datenschutzerklärungen

Eine fehlende oder unzureichende Datenschutzerklärung kann unangenehme Folgen haben:

  • Eine fehlende oder unzureichende Datenschutzerklärung begründet einen Verstoß gegen die DSGVO. Diese sieht in solchen Fällen verschiedene Sanktionsmaßnahmen vor, die die Aufsichtsbehörden verhängen können. Die Sanktionsmaßnahmen der DSGVO sollen abschreckend sein. Folge eines Verstoßes kann unter anderem die Verhängung eines Bußgeldes sein, das im Extremfall theoretisch bis zu 20 Millionen EUR bzw. bis zu 4 % des weltweiten Jahresumsatzes betragen kann.
  • Neben einer datenschutzrechtlichen Sanktionsmaßnahme kann die fehlende beziehungsweise unzureichende Datenschutzerklärung auf einer Webseite auch einen Verstoß gegen das Wettbewerbsrecht darstellen. Hier müssen Unternehmen aufpassen. Denn Konkurrenten können diesen Verstoß gegebenenfalls abmahnen und gegebenenfalls Schadensersatz fordern.
  • Zuletzt besteht bei allen datenschutzrechtlichen Verstößen stets die Gefahr eines „Imageschadens“. Der Datenschutz hat in den letzten Jahren, insbesondere durch die Einführung der Datenschutzgrundverordnung, erheblich an Bedeutung gewonnen. Er ist mittlerweile im Bewusstsein von Kunden und Webseitenbesuchern tief verankert. Letztlich führt ein Verstoß daher auch zu einem mittelbaren Schaden für Unternehmen.

Wie muss die Datenschutzerklärung für Ihre Webseite gestaltet sein, damit sie rechtskonform ist?

Zweck der Datenschutzerklärung ist, die betroffenen Personen vor der Erhebung ihrer personenbezogenen Daten darüber aufzuklären, zu welchen Zwecken die Verarbeitung ihrer personenbezogenen Daten erfolgt. Die genauen Anforderungen an den Inhalt einer Datenschutzerklärung sind in Art. 13, 14 DSGVO (hier zu finden) geregelt.

Eine Datenschutzerklärung muss in jedem Fall folgende Fragen beantworten:

  • Welches Unternehmen beziehungsweise welche Privatperson ist Verantwortlicher im Sinne des Datenschutzes? Hat der Verantwortliche einen Datenschutzbeauftragten?
  • Welche personenbezogenen Daten werden genau erhoben und was passiert anschließend mit diesen?
  • Werden die personenbezogenen Daten an andere Unternehmen übermittelt?
  • Werden die jeweiligen Daten in Länder außerhalb der Europäischen Union (EU), wo das Schutzniveau für diese Daten typischerweise niedriger ist, übermittelt?
  • Auf Basis welcher Rechtsgrundlage erfolgt die Verarbeitung der jeweiligen personenbezogenen Daten?
  • Wann werden die personenbezogenen Daten wieder gelöscht?
  • Welche Rechte hat die Person, deren personenbezogene Daten verarbeitet werden, gegenüber dem Verantwortlichen?
  • Wer ist zuständige Behörde, an die sich die betroffenen Personen wenden können, wenn aus ihrer Sicht ein Verstoß gegen das Datenschutzrecht vorliegt?

Die Antworten auf diese Fragen müssen in klarer und verständlicher Sprache im Rahmen der Datenschutzerklärung dargestellt werden.

Für die Datenschutzerklärung Ihrer Webseite bedeutet das, dass insbesondere alle Verarbeitungsvorgänge der personenbezogenen Daten verständlich und vollständig für den Nutzer dargestellt werden. Dies umfasst insbesondere das Erfassen von Logdaten, die Anmeldung zum Newsletter, die Verwendung eines Kontaktformulars, die Nutzung von Social-Plug-ins, die Einbindung von Google Maps und die Nutzung von Cookies.

Bei der Verwendung von allgemeinen Textbausteinen beziehungsweise mittels Datenschutzerklärungsgenerator erstellter Datenschutzerklärungen besteht die Gefahr, dass die Darstellung der verschiedenen Verarbeitungsprozesse unvollständig oder unrichtig erfolgt. Wir empfehlen daher, stets einen Experten die Datenschutzerklärung prüfen zu lassen.

Cookies in der Datenschutzerklärung – was müssen Sie beachten?

Fast jede Internetseite benutzt Cookies. Was gilt es hier zu beachten?

Bei Cookies müssen Sie zwischen zwei Arten von Cookies unterscheiden: Es gibt einerseits Cookies, die technisch zwingend notwendig sind, um Ihre Webseite zu betreiben (etwa Session-Cookies). Andererseits gibt es technisch nicht notwendige Cookies (etwa Tracking-Cookies).

Sie müssen Betroffene über die Verwendung der jeweiligen Cookies aufklären, unabhängig davon, ob es sich um einen technisch zwingend notwendigen oder technisch nicht notwendigen Cookie handelt. Sofern Sie auch technisch nicht notwendige Cookies verwenden (etwa Google Analytics oder Facebook), müssen Sie grundsätzlich vor Setzen des Cookies die aktive Einwilligung des Nutzers einholen. Dies geschieht über ein sogenanntes Cookie-Banner. Üblicherweise wird im Rahmen des Cookie-Banners auch über die jeweiligen Cookies aufgeklärt.

Interessante Zusatzinfo: Die Pflicht zur Information besteht hinsichtlich Cookies unabhängig davon, ob eine Verarbeitung personenbezogener Daten erfolgt oder Daten ohne Personenbezug verarbeitet werden.

Datenschutzerklärungen abseits der Webseite? Na klar!

Sie benötigen eine Datenschutzerklärung für Ihre Homepage, damit Sie Ihrer Informationspflicht, welche sich aus der DSGVO ergibt, nachkommen. Diese besteht, weil Sie personenbezogene Daten von Webseiten-Nutzern bei Nutzung Ihrer Internetseite erheben.

Personenbezogene Daten werden aber auch in vielen anderen Fällen erhoben. Dies hat zur Folge, dass auch in vielen anderen Fällen Datenschutzerklärungen erforderlich sind, um die geltenden datenschutzrechtlichen Regeln einzuhalten. Typische weitere Anwendungsfälle sind etwa Datenschutzerklärungen für Beschäftigte und Datenschutzerklärungen für Bewerber.

Wir hoffen, Ihnen hier einen guten Überblick über das Thema Datenschutzerklärung gegeben zu haben. Sofern Sie noch Rückfragen zu dieser umfangreichen Thematik haben, sprechen Sie uns gerne an. Wir freuen uns auf Sie.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

October 11, 2023
7 min
Was bedeutet das NIS2 Umsetzungsgesetz für Unternehmen?

Cybersicherheit ist für die Europäische Union und ihre Mitgliedstaaten, einschließlich Deutschland, von wachsender Bedeutung, insbesondere aufgrund zunehmender Hackerangriffe auf Infrastrukturen. Die EU veröffentlicht und aktualisiert aktiv Rechtsvorschriften, darunter die neueste NIS2 Richtlinie, die zusätzliche Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Union enthält. In Deutschland liegt nun ein Entwurf für ein NIS2 Umsetzungsgesetz vor, um die Vorgaben der NIS2 Richtlinie umzusetzen.

Lesen
June 8, 2023
12 min
Geldwäschegesetz: So setzen Sie das GwG im Unternehmen praktisch um

Entdecken Sie in unserem neuesten Artikel „Geldwäschegesetz: So setzen Sie das GwG im Unternehmen praktisch um“ die essenzielle Bedeutung des Geldwäschegesetzes (GwG) im Kampf gegen Geldwäsche und Terrorismusfinanzierung. Erfahren Sie, wie Sie das GwG kosteneffizient umsetzen können und wie das Digital Compliance Office Sie dabei unterstützt. Lesen Sie weiter, um wertvolle Einblicke und praktische Tipps zur praktischen Umsetzung des GwG in Ihrem Unternehmen zu erhalten.

Lesen
November 7, 2023
10 min
ISMS Audit: Arten, Ablauf und Erfolgschancen im Überblick

Ein effektives ISMS ist entscheidend, um sensible Informationen in der digitalen Geschäftswelt zu schützen. Ein ISMS Audit ist eine systematische Bewertung des ISMS, das sicherstellen will, dass das ISMS den relevanten Standards entspricht. ISMS Audits können für Unternehmen Herausforderungen darstellen, insbesondere aufgrund der komplexen Anforderungen an die Unternehmen. In diesem Artikel stellen wir die verschiedenen Audittypen, den Ablauf und die Erfolgsfaktoren von ISMS Audits vor.

Lesen
TO TOP