Datenschutz auf Websites – Das müssen Sie wissen

19. Juni 2019

Datenschutz verstehen – Datenschutz auf Websites – Das müssen Sie wissen

Spätestens seit dem 25. Mai 2018 benötigen alle verantwortlichen Stellen eine DSGVO-konforme Datenschutzerklärung auf ihrer Website. In unserem Blogbeitrag lesen Sie Tipps für den Datenschutz auf Ihrer Homepage und weiteren Websites. Nach der DSGVO sind diverse rechtliche Vorgaben für eine Datenschutzerklärung zu berücksichtigen. Bei Missachtung dieser Vorgaben drohen Strafen in Form von Bußgeldern von bis zu 20 Mio. € oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher der Beträge höher ist.

Die für eine Datenschutzerklärung erforderliche Angaben können Sie in einer Übersicht aus diesem Beitrag entnehmen. Darüber hinaus stellen wir Ihnen auch eine Muster-Datenschutzerklärung zur Verfügung.

Inhalt

Datenschutz auf der Webseite
Die Datenschutzerklärung
Wann ist Datenschutz auf Websites Pflicht?
Nichteinhaltung des Datenschutzes
Was gehört in eine Datenschutzerklärung?
Welche personenbezogenen Daten werden verarbeitet?
Impressumspflicht und Datenschutzerklärung
DSGVO Generator
Informierte Einwilligungen und Consent-Management für Cookies
Muster für die Datenschutzerklärung

Die Datenschutzerklärung

Jede Website muss die Datenschutz-Vorgaben der DSGVO ausreichend berücksichtigen. Eine explizite Nennung von Websites erfolgt in der neuen Datenschutzverordnung nicht. Vielmehr umschreibt die Datenschutzerklärung alle Informations- und Transparenzpflichten gem. Art. 12 ff. DSGVO, die unabhängig von der Datenerhebung auf Websites bei jeder anderen Datenerhebung ebenfalls berücksichtigt werden müssen. Art. 13 DSGVO nennt insgesamt über zwölf Punkte, die je Verarbeitungstätigkeit angegeben werden, wobei gewisse Punkte wie die Betroffenenrechte nur einmal genannt werden müssen.

Der erforderliche Detailgrad der Datenschutzerklärung bemisst sich nach den gesetzlichen Vorgaben gem. Art. 12, 13 DSGVO. Die erforderlichen Mindestangaben, insbesondere aus Art. 13 DSGVO, müssen zwingend erfüllt werden.

Bezüglich des Ortes der Platzierung der Datenschutzerklärung sind die Vorgaben aus Art. 12 Abs. 1 S.1 DSGVO zu berücksichtigen: Die Informationen, die eine Datenschutzerklärung enthalten muss, müssen präzise, transparent, verständlich und vor allem in leicht zugänglicher Form der jeweiligen betroffenen Person zur Verfügung gestellt werden. Diese Vorgabe macht deutlich, dass die Datenschutzerklärung nicht versteckt auf einer Website platziert werden darf, denn das würde den Vorgaben der DSGVO widersprechen.

Die betroffene Person muss die Datenschutzerklärung ohne Aufwand finden können. Ferner muss die Datenschutzerklärung auf der Website stets abrufbar sein, um die Informationspflichten DSGVO-konform zu erfüllen.

Entscheidend ist in diesem Zusammenhang auch, welche personenbezogene Daten bei der Nutzung einer Website eigentlich erhoben werden. Hierzu gehören in der Regel die IP-Adresse und weitere Angaben in Verbindung zu einer Person, wie z.B. der eingesetzte Browser, das Betriebssystem oder die Uhrzeit der Website-Abrufe durch diese IP-Adresse. Darüber hinaus werden auch, in Abhängig von der jeweiligen Website (z.B. Online-Shop), ggfs. “klassische” personenbezogene Daten wie Name, Adresse und Zahlungsdaten erhoben.

Wann ist Datenschutz auf Websites Pflicht?

Eine Datenschutzerklärung auf Websites ist immer dann Pflicht, wenn im Rahmen des Besuchs der Website personenbezogene Daten von Besuchern erhoben werden. Das dürfte in der Regel bei nahezu jeder Website der Fall sein. Betroffen von der Pflicht, mittels einer Datenschutzerklärung die Informations- und Transparenzpflichten gem. Art. 12 ff. DSGVO zu erfüllen, sind nicht nur Unternehmen, sondern auch Vereine, Körperschaften (Behörden), Stiftungen und Anstalten. Vorschriften des Telemediengesetzes (TMG) in Form der §§ 12, 13 und 15 TMG, sind seit Anwendbarkeit der DSGVO am 25.05.2018 laut einer Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) für nicht-öffentliche Stellen nicht mehr anwendbar.

Datenschutz auf Unternehmens-Websites

Mit der zunehmenden Digitalisierung werden Websites für Unternehmen insbesondere aus wirtschaftlicher Perspektive immer wichtiger. Da die Relevanz von Websites für den wirtschaftlichen Erfolg immer weiter wächst, sollten auch die Vorgaben der DSGVO stets berücksichtigt werden, da die Aufmerksamkeit in Bezug auf Websites immer weiter wächst. In diesem Zusammenhang spielen auch die Rechte von Betroffenen nach der DSGVO eine besondere. Hinzu kommt ein explizites Beschwerderecht von betroffenen Personen in Bezug auf Datenschutzverstöße bei der jeweiligen zuständigen Aufsichtsbehörde, vgl. Art. 77 DSGVO.

Datenschutz auf Vereins-Websites

Für Websites von Vereinen gelten keine datenschutzrechtlichen Besonderheiten. Auch bei Vereinen handelt es sich um Verantwortliche i.S.d. § 4 Nr. 7 DSGVO. Websites von Vereinen müssen hinsichtlich der Datenschutzerklärung die gleichen Vorgaben erfüllen wie auch Unternehme nund Behörden. Die Verwirrung und Aufregung bezüglich der Vorgaben der DSGVO und des BDSG-neu waren vor, während und nach Anwendbarkeit der DSGVO besonders groß.

Ursächlich hierfür sind keine expliziten und besondere datenschutzrechtliche Regelungen für Vereine, sondern eher die Tatsache, dass die DSGVO auch Vereine mit hauptsächlich ehrenamtlich tätigen Mitgliedern genauso in die Pflicht nimmt wie Unternehmen und Behörden. Einige Behörden haben allerdings Schwerpunkte der datenschutzrechtlichen Vorgaben für Vereine bestimmt: So hat das Bayerische Landesamt für Datenschutzaufsicht eine Checkliste und ein FAQ mit den zehn häufigsten Fragen zum Datenschutz für Vereine veröffentlicht.

Datenschutz auf privaten Websites

Auch für private Websites macht die DSGVO keine Ausnahmen: Betreiber privater Websites, beispielsweise für ein Hobby oder für Blogbeiträge, sind ebenfalls Verantwortliche nach der DSGVO und müssen daher ebenfalls eine Datenschutzerklärung nach den Vorgaben der Art. 12 ff. DSGVO auf der eigenen Website einstellen. Auch für private Websitenbetreiber und Vereine drohen identische Bußgelder. Auch Privatpersonen sollen bereits wegen eines Verstoßes gegen die DSGVO abgemahnt worden sein.

Konsequenzen bei der Nichteinhaltung des Datenschutzes

Zu berücksichtigen ist, dass eine fehlende, unvollständige oder inhaltliche nicht richtige Datenschutzerklärung aufgrund eines Verstoßes gegen die Art. 12 ff DSGVO gem. Art. 83 Abs. 5 lit. b) DSGVO mit einem Bußgeld von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, von der Behörde sanktioniert werden kann. Wettbewerbsrechtliche Abmahnungen auf Basis der Vorschriften des UWG können derzeit ebenfalls nicht gänzlich ausgeschlossen werden. Aktuell existiert keine einheitliche nationale Rechtsprechung bezüglich der Abmahnbarkeit von DSGVO-Verstößen (vgl. LG Würzburg, LG Wiesbaden, OLG Hamburg).

Was gehört in eine Datenschutzerklärung?

Eine Datenschutzerklärung muss alle Vorgaben aus den Art. 12 ff., insbesondere Art. 13 Abs. 2 und Abs. 3 DSGVO, je Verarbeitungstätigkeit enthalten.Diverse Punkte, wie z.B. die Unterrichtung über die bestehenden Betroffenenrechte oder das Beschwerderecht, müssen nicht je Verarbeitungstätigkeit wiederholt angegeben werden. Die folgenden Punkte muss eine Datenschutzerklärung enthalten (rechts):

Darüber hinaus kommen weitere Punkte hinzu. Hierzu gehören Hinweise bezüglich technischer Aspekte wie z.B. Server-Logfiles, der generelle Umgang mit personenbezogenen Daten (inkl. Hinweise auf technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO), Cookie-Informationen, Kontaktformularangaben, Abo- und Kommentar-Funktionen, Einbindung von Social Media-Plugins, Angaben über eingesetzte Analyse- und Marketing-Tools inkl. Tracking und Newsletter-Informationen. Diese Punkte sind allerdings nicht abschließend.

Jede Website muss individuell analysiert werden. Im Anschluss muss die Datenschutzerklärung alle gem. Art. 12 ff. DSGVO vorgegebenen Angaben enthalten in Bezug auf alle personenbezogenen Verarbeitungstätigkeiten enthalten.

Verantwortlicher

Name und Kontaktdaten des Verantwortlichen sowie ggfs. seines Vertreters oder Datenschutzbeauftragten.

Zweck

Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen.

Rechtsgrundlagen der Datenverarbeitungen

Beispielsweise kann das berechtigte Interesse i.S.d. Art. 6 Abs. 1 lit. f) DSGVO des Verantwortlichen oder eines Dritten aufgeführt werden, falls eine Verarbeitung auf das berechtigte Interesse gestützt wird.

Empfänger

Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.

Dauer

Die Dauer für die die personenbezogenen Daten gespeichert werden oder, falls diese Angabe nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Rechte der Betroffenen

Aufklärung über alle Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung, Widerruf).

Welche personenbezogenen Daten werden auf einer Website verarbeitet?

Zunächst ist es wichtig, zu wissen, was unter personenbezogene Daten zu verstehen ist. Hier hilft die DSGVO mit einer konkreten Definition weiter: Gem Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Unter dem Merkmal identifizierbar wird eine natürliche Person verstanden, die direkt oder indirekt, insbesondere via Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Zu den personenbezogenen Daten, die grundsätzlich auf einer Website erfasst werden, gehören beispielsweise Server Logfiles, Cookies, Analyse- und Statistikdaten bezüglich des Nutzerverhaltens von Besuchern auf Websites. Hinzu kommen weitere personenbezogene Daten durch Anmeldungen, Kommentarfunktionen oder Forentätigkeiten. In Form von Kontaktformularen werden ebenfalls personenbezogene Daten verarbeitet. In diesem Zusammenhang sind in der Regel mindestens der Vor- und Nachname sowie die E-Mail-Adresse einzugeben. Immer mehr Websites setzen außerdem vermehrt auf Social-Media-Plugins. Zu den beliebtesten gehören die Plugins von Facebook, YouTube, Xing und Twitter.

Impressumspflicht und Datenschutzerklärung

Die Impressumspflicht ergibt aus § 5 Telemediengesetz (TMG) und § 55 Rundfunkstaatsvertrag (RStV). Regelungen bezüglich eines Impressums ergeben sich somit nicht aus der DSGVO. Zweck der Impressumspflicht ist es, dass Besucher der Website wissen, von dem diese betrieben wird. Dies gilt insbesondere für etwaige rechtliche Ansprüche. Daher muss das Impressum einer Website auch immer eine ladungsfähige Anschrift enthalten, damit rechtliche Ansprüche auch gerichtlich geltend gemacht werden können. In diesem Zusammenhang ist ein Impressum-Generator bei vielen Website-Betreibern im Einsatz. Auch Muster für ein Impressum werden von vielen Unternehmen im Internet angeboten. Abmahnungen wegen Verstößen gegen die Impressumspflicht waren in der Vergangenheit oft Gegenstand diverser Gerichtsverhandlungen (vgl. bspw. OLG Hamburg, OLG Düsseldorf).

Besonders wichtig ist die Differenzierung zwischen Datenschutzerklärung und Impressum: So müssen beide getrennt auf einer Website ausgewiesen werden. Zwar gibt es beispielsweise bei der Angabe der verantwortlichen Stelle, inkl. Kontaktdaten, eine gewisse Gemeinsamkeit von Datenschutzerklärung und Impressum. Allerdings sind die weiteren erforderlichen Punkte einer Datenschutzerklärung stark von den erforderlichen Angaben eines Impressums zu differenzieren. Daher müssen Websitenbetreiber stets daran denken, Impressum und Datenschutzerklärung getrennt auf einer Website darzustellen und für jeden dieser beiden Punkte gesondert die rechtlichen Vorgaben berücksichtigen.

DSGVO Generator für die individuelle Datenschutzerklärung

Im Netz gibt es viele verschiedene Anbieter für einen sog. “Datenschutzerklärung-Generator” oder auch “DSGVO-Generator”. Mit diesen Generatoren soll eine Datenschutzerklärung nach den Vorgaben der DSGVO erstellt werden. Durch die Beantwortung eines Fragenkatalogs wird eine Datenschutzerklärung via Datenschutz-Generator durch den Anbieter für Websitenbetreiber erstellt. Zu berücksichtigen ist allerdings, dass viele Generatoren für eine Datenschutzerklärung nicht alle personenbezogen Verarbeitungstätigkeiten einer Website erfassen. Das führt dazu, dass die durch automatische Generatoren erstellte Datenschutzerklärungen lückenhaft sind und somit nicht alle Vorgaben der DSGVO erfüllen.

Daher sollten Unternehmen auf eine individuelle Beratung eines Datenschutzbeauftragten zurückgreifen. Zusätzlich sollte eine Lösung implementiert werden, um die Zustimmungen der Cookies der Webseiten-Besucher zu verwalten.

Informierte Einwilligungen und Consent-Management für Cookies

Wenn auf Ihrer Website Cookies verarbeitet werden, müssen Sie ein datenschutzkonformes Cookie-Management einrichten. Hier existieren bereits einige Anbieter, wie z.B. hellotrust, die nach der Installation die datenschutzkonforme Verwaltung der Cookies übernehmen. Wichtig ist in diesem Zusammenhang, dass nur informierte Einwilligung die Speicherung von Cookies erlauben. Zudem müssen die betroffenen Personen die Möglichkeit haben, die selbst vorgenommene Auswahl für Cookies jederzeit wieder ändern zu können. Wenn mehrere Cookies eingesetzt werden, was der Regelfall sein dürfte, müssen betroffene Personen die Option haben, sich für oder gegen einzelne Cookies entscheiden zu können. Die Option, lediglich in alle Cookies einzuwilligen, ist unzulässig.

Muster für die Datenschutzerklärung auf Websites

Es gibt auch die Möglichkeit, durch die Verwendung eines Musters eine Datenschutzerklärung zu erstellen. Hier ist allerdings zu berücksichtigen, dass das Muster nicht alle Verarbeitungstätigkeiten der jeweiligen Website enthält. In der Regel werden in einem Muster die allgemeinen Punkte, die jede Datenschutzerklärung nach der DSGVO enthalten muss, wie z.B. Hinweise bezüglich der verantwortlichen Stelle oder die Betroffenenrechte, aufgelistet. Alle individuell auf einer Website stattfindenden Verarbeitungen von personenbezogenen Daten müssen dann allerdings unter Berücksichtigung der Vorgaben von Art. 12 ff. DSGVO eingefügt werden. Bei der Verwendung von Mustern für eine Datenschutzerklärung bestehen somit ebenso Gefahren für die Unvollständigkeit und Fehlerhaftigkeit der Erklärung wie bei einem Generator für Datenschutzerklärungen. Ein Muster kann daher lediglich als Vorlage für eine noch zu erstellende Datenschutzerklärung dienen.

Für eine Datenschutzerklärung, die alle datenschutzrechtlichen Vorgaben der DSGVO enthält, empfehlen wir daher die Konsultation eines Datenschutzbeauftragten. Nur auf diese Weise können Webseiten-Betreiber Bußgelder und Abmahnungen wegen Datenschutz-Verstößen in Bezug auf Datenschutzerklärungen effektiv vorbeugen. Das Team von Keyed steht Ihnen in diesem Zusammenhang gerne zur Verfügung.

In diesem Blogbeitrag finden Sie eine Muster-Datenschutzerklärung. Bitte berücksichtigen Sie, dass diese keinen Anspruch auf Vollständigkeit erhebt, da eine Datenschutzerklärung für jede Website individuell erstellt und angepasst werden muss. Ferner müssen Sie die rot markierten Stellen um Ihre eigenen individuellen Angaben ergänzen. Eine Muster-Datenschutzerklärung hat keine allgemeine Gültigkeit für jede Website. Jede Website muss datenschutzrechtlich individuell geprüft werden, um im Anschluss eine datenschutzkonforme Datenschutzerklärung zu erstellen.

Kontaktieren Sie die Experten von Keyed, um für Sie eine individuelle Datenschutzerklärung nach den Vorgaben der DSGVO zu erstellen.

Muster Datenschutzerklärung

Nils Möllers

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz