Beitrag teilen
HOME
/
blog
/
Datenschutzerklärung: Unsere einfache Checkliste für die Gestaltung

Datenschutzerklärung: Unsere einfache Checkliste für die Gestaltung

Daniel Lösch

Senior Privacy Expert & Product Owner

June 2, 2023

3 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Alle Websites, die personenbezogene Daten erheben, benötigen gemäß DSGVO eine Datenschutzerklärung, unabhängig davon, ob sie von Unternehmen oder Privatpersonen betrieben werden.

Eine fehlende oder unzureichende Datenschutzerklärung kann zu Sanktionen, Wettbewerbsrecht-Verstößen und möglichen Image-Schäden führen.

Die Datenschutzerklärung muss eine Reihe von Informationen enthalten, wie die Art der gesammelten Daten und deren Verwendungszweck.

Bei der Verwendung von Cookies, insbesondere technisch nicht notwendigen Cookies, ist eine aktive Einwilligung des Nutzers erforderlich.

In diesem Artikel erfahren Sie:

  • welche Webseiten eine Datenschutzerklärung benötigen
  • welche Konsequenzen bei unzulänglichen Datenschutzerklärungen drohen
  • wie eine rechtskonforme Datenschutzerklärung aussieht
  • was Sie bei der Datenschutzerklärung bezüglich Cookies beachten müssen

Benötigt wirklich jede Internetseite eine Datenschutzerklärung? Die Antwort auf diese Frage gibt die Datenschutzgrundverordnung (DSGVO). In dieser ist geregelt, dass jeder, der personenbezogene Daten (etwa IP-Adressen) erhebt, der betroffenen Person spätestens zum Zeitpunkt der Erhebung gewisse Informationen zur Verfügung stellen muss.

Die Umsetzung dieser Informationspflicht erfolgt durch Zurverfügungstellung einer Datenschutzerklärung (sogar vorzugswürdig ist die Bezeichnung „Datenschutzhinweis“ oder „Datenschutzinformationen“; diese Begriffe haben sich aber jedenfalls für Webseiten noch nicht durchgesetzt).

Diese Regelung der DSGVO gilt unabhängig davon, ob die Internetseite durch ein Unternehmen oder eine Privatperson betrieben wird. Auch als Privatperson muss Ihre Homepage eine Datenschutzerklärung enthalten, insoweit eine Verarbeitung personenbezogener Daten erfolgt.

Konsequenzen für fehlende und unzureichende Datenschutzerklärungen

Eine fehlende oder unzureichende Datenschutzerklärung kann unangenehme Folgen haben:

  • Eine fehlende oder unzureichende Datenschutzerklärung begründet einen Verstoß gegen die DSGVO. Diese sieht in solchen Fällen verschiedene Sanktionsmaßnahmen vor, die die Aufsichtsbehörden verhängen können. Die Sanktionsmaßnahmen der DSGVO sollen abschreckend sein. Folge eines Verstoßes kann unter anderem die Verhängung eines Bußgeldes sein, das im Extremfall theoretisch bis zu 20 Millionen EUR bzw. bis zu 4 % des weltweiten Jahresumsatzes betragen kann.
  • Neben einer datenschutzrechtlichen Sanktionsmaßnahme kann die fehlende beziehungsweise unzureichende Datenschutzerklärung auf einer Webseite auch einen Verstoß gegen das Wettbewerbsrecht darstellen. Hier müssen Unternehmen aufpassen. Denn Konkurrenten können diesen Verstoß gegebenenfalls abmahnen und gegebenenfalls Schadensersatz fordern.
  • Zuletzt besteht bei allen datenschutzrechtlichen Verstößen stets die Gefahr eines „Imageschadens“. Der Datenschutz hat in den letzten Jahren, insbesondere durch die Einführung der Datenschutzgrundverordnung, erheblich an Bedeutung gewonnen. Er ist mittlerweile im Bewusstsein von Kunden und Webseitenbesuchern tief verankert. Letztlich führt ein Verstoß daher auch zu einem mittelbaren Schaden für Unternehmen.

Wie muss die Datenschutzerklärung für Ihre Webseite gestaltet sein, damit sie rechtskonform ist?

Zweck der Datenschutzerklärung ist, die betroffenen Personen vor der Erhebung ihrer personenbezogenen Daten darüber aufzuklären, zu welchen Zwecken die Verarbeitung ihrer personenbezogenen Daten erfolgt. Die genauen Anforderungen an den Inhalt einer Datenschutzerklärung sind in Art. 13, 14 DSGVO (hier zu finden) geregelt.

Eine Datenschutzerklärung muss in jedem Fall folgende Fragen beantworten:

  • Welches Unternehmen beziehungsweise welche Privatperson ist Verantwortlicher im Sinne des Datenschutzes? Hat der Verantwortliche einen Datenschutzbeauftragten?
  • Welche personenbezogenen Daten werden genau erhoben und was passiert anschließend mit diesen?
  • Werden die personenbezogenen Daten an andere Unternehmen übermittelt?
  • Werden die jeweiligen Daten in Länder außerhalb der Europäischen Union (EU), wo das Schutzniveau für diese Daten typischerweise niedriger ist, übermittelt?
  • Auf Basis welcher Rechtsgrundlage erfolgt die Verarbeitung der jeweiligen personenbezogenen Daten?
  • Wann werden die personenbezogenen Daten wieder gelöscht?
  • Welche Rechte hat die Person, deren personenbezogene Daten verarbeitet werden, gegenüber dem Verantwortlichen?
  • Wer ist zuständige Behörde, an die sich die betroffenen Personen wenden können, wenn aus ihrer Sicht ein Verstoß gegen das Datenschutzrecht vorliegt?

Die Antworten auf diese Fragen müssen in klarer und verständlicher Sprache im Rahmen der Datenschutzerklärung dargestellt werden.

Für die Datenschutzerklärung Ihrer Webseite bedeutet das, dass insbesondere alle Verarbeitungsvorgänge der personenbezogenen Daten verständlich und vollständig für den Nutzer dargestellt werden. Dies umfasst insbesondere das Erfassen von Logdaten, die Anmeldung zum Newsletter, die Verwendung eines Kontaktformulars, die Nutzung von Social-Plug-ins, die Einbindung von Google Maps und die Nutzung von Cookies.

Bei der Verwendung von allgemeinen Textbausteinen beziehungsweise mittels Datenschutzerklärungsgenerator erstellter Datenschutzerklärungen besteht die Gefahr, dass die Darstellung der verschiedenen Verarbeitungsprozesse unvollständig oder unrichtig erfolgt. Wir empfehlen daher, stets einen Experten die Datenschutzerklärung prüfen zu lassen.

Cookies in der Datenschutzerklärung – was müssen Sie beachten?

Fast jede Internetseite benutzt Cookies. Was gilt es hier zu beachten?

Bei Cookies müssen Sie zwischen zwei Arten von Cookies unterscheiden: Es gibt einerseits Cookies, die technisch zwingend notwendig sind, um Ihre Webseite zu betreiben (etwa Session-Cookies). Andererseits gibt es technisch nicht notwendige Cookies (etwa Tracking-Cookies).

Sie müssen Betroffene über die Verwendung der jeweiligen Cookies aufklären, unabhängig davon, ob es sich um einen technisch zwingend notwendigen oder technisch nicht notwendigen Cookie handelt. Sofern Sie auch technisch nicht notwendige Cookies verwenden (etwa Google Analytics oder Facebook), müssen Sie grundsätzlich vor Setzen des Cookies die aktive Einwilligung des Nutzers einholen. Dies geschieht über ein sogenanntes Cookie-Banner. Üblicherweise wird im Rahmen des Cookie-Banners auch über die jeweiligen Cookies aufgeklärt.

Interessante Zusatzinfo: Die Pflicht zur Information besteht hinsichtlich Cookies unabhängig davon, ob eine Verarbeitung personenbezogener Daten erfolgt oder Daten ohne Personenbezug verarbeitet werden.

Datenschutzerklärungen abseits der Webseite? Na klar!

Sie benötigen eine Datenschutzerklärung für Ihre Homepage, damit Sie Ihrer Informationspflicht, welche sich aus der DSGVO ergibt, nachkommen. Diese besteht, weil Sie personenbezogene Daten von Webseiten-Nutzern bei Nutzung Ihrer Internetseite erheben.

Personenbezogene Daten werden aber auch in vielen anderen Fällen erhoben. Dies hat zur Folge, dass auch in vielen anderen Fällen Datenschutzerklärungen erforderlich sind, um die geltenden datenschutzrechtlichen Regeln einzuhalten. Typische weitere Anwendungsfälle sind etwa Datenschutzerklärungen für Beschäftigte und Datenschutzerklärungen für Bewerber.

Wir hoffen, Ihnen hier einen guten Überblick über das Thema Datenschutzerklärung gegeben zu haben. Sofern Sie noch Rückfragen zu dieser umfangreichen Thematik haben, sprechen Sie uns gerne an. Wir freuen uns auf Sie.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 5, 2023
4 min
Cookie-Einwilligung: Wie holt man sie rechtskonform ein?

Seit dem Inkrafttreten der DSGVO im Mai 2018 ist es für den Benutzer im Web zum Alltag geworden: Beim Öffnen einer neuen Website wird man aufgefordert, seine Einwilligung zum Sammeln von Daten zu geben, sogenannte Cookies. Laut den ersten Informationen einer Studie der Ruhr-Uni Bochum sind diese Einwilligungen in den meisten Fällen nicht rechtskonform.‍ Wie soll man Cookie-Banner also gestalten? Unsere Experten verraten es.

Lesen
November 10, 2023
8 min
ISMS Aufbau: Das sind Grundlagen, Erfolgsfaktoren und Vorteile

Wie startet man den ISMS Aufbau? Von der Risikobewertung bis zur kontinuierlichen Verbesserung – welche Schritte sind entscheidend? In diesem Artikel lesen Sie, warum ein starkes ISMS nicht nur eine Notwendigkeit, sondern auch eine Chance ist, Ihr Unternehmen vor digitalen Gefahren zu schützen. Welcher ISMS Standard ist am besten für Ihr Unternehmen geeignet und ermöglicht Ihnen Wettbewerbsvorteile?

Lesen
November 6, 2023
7 min
NIS2 Cybersecurity – was bedeutet die neue EU-Richtlinie für die Cybersicherheit in Europa?

Das Europäische Parlament hat einen bedeutenden Schritt in Richtung umfassenderer und effektiverer Cybersicherheit unternommen. Am 10. November 2022 billigte es den Entwurf der NIS2 Richtlinie, die seit Anfang 2023 in der EU in Kraft ist. Angesichts der anhaltenden Bedrohung durch Cyberangriffe erkannte die Europäische Union die Notwendigkeit, Maßnahmen zu ergreifen. Die NIS2 Richtlinie, die unter anderem die Definition kritischer Dienstanbieter erweitert und strengere Sicherheitsstandards einführt, zielt darauf ab, die Cybersicherheit in Europa zu stärken.

Lesen
TO TOP