Datenschutzerklärung: Das muss enthalten sein

Die Datenschutzerklärung gehört sicherlich zu den unangenehmen und unbequemen Pflichtaufgaben eines Webmasters. Aber mit der Erhöhung der Informationspflichten in der Datenschutz-Grundverordnung (DSGVO), ist sie wichtiger denn je. Das liegt vor allem auch daran, dass Fehler in der Datenschutzerklärung für jedermann sichtbar und derzeit leider auch abmahnbar sind. Es ist also Zeit, Ihre Datenschutzerklärung auf Schwachstellen zu überprüfen, wobei Ihnen der nachfolgende Beitrag helfen wird.

(Bild: © Maksim Kabakou – Fotolia.com)
(Bild: © Maksim Kabakou – Fotolia.com)

Dieser Artikel vom August 2015 wurde im Oktober 2018 komplett überarbeitet.

Bitte beachten Sie, dass im Datenschutzrecht noch sehr viele Punkte ungeklärt sind und Juristen zum Teil sogar entgegenstehende Meinung vertreten. Die nachfolgende Darstellung geht daher grundsätzlich einen sicheren sowie praxisnahen Weg und weist ansonsten auf etwaige Risiken hin.

1. Wer muss eine Datenschutzerklärung anbieten?

Alle Unternehmen oder Freiberufler, die Webseiten, Onlineshops betreiben, mobile Apps anbieten oder Social Media Profile unterhalten, müssen eine Datenschutzerklärung anbieten. 

Auch wenn in einer Website keine Kontaktformulare eingebunden sind, wird bei deren Aufruf zumindest die IP-Adresse der Nutzer erhoben (die grundsätzlich als „Onlinekennung“ ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO darstellt). Ansonsten wüsste der Server nicht, an welchen Browser er die Website-Inhalte ausliefern sollte. 

Ferner unterscheidet das Gesetz nicht zwischen geschäftlicher und privater Datenverarbeitung. Nur wenn eine Verarbeitung ausschließlich familiären und persönlichen Tätigkeiten dient, entfällt die Pflicht zur Datenschutzerklärung. Eine ausschließlich private Tätigkeit wird zum Beispiel im Rahmen von persönlichen Profilen in sozialen Netzwerken (überwiegend) angenommen, aber eher nicht im Fall von öffentlich zugänglichen Webseiten.

2. Was kann passieren, wenn eine Datenschutzerklärung fehlt oder fehlerhaft ist?

Auch wenn es im Zeitpunkt der Veröffentlichung dieses Artikels rechtlich nicht ganz geklärt ist, existieren bereits Entscheidungen in denen Gerichte fehlende oder fehlerhafte Datenschutzerklärungen für abmahnbar hielten (z.B., LG Würzburg  pro und LG Bochum contra Abmahnbarkeit).

Das Risiko ist dabei vor allem, dass im Fall eine Abmahnung eine Unterlassungserklärung unterschrieben werden muss. Im Fall wiederholter Verstöße durch fehlende oder fehlerhafte Informationen, wird dann eine ca. 2.500 bis 5.000 Euro teure Vertragsstrafe fällig. Angesichts der sich ständig ändernder Technik und unklarer Rechtslage, sollten Sie daher eine solche Unterlassungserklärung auf jeden Fall vermeiden und bei der Datenschutzerklärung nicht auf Risiko setzen.

Die Abmahnungen können von Mitbewerbern, aber auch von klagebefugten Organisationen wie zum Beispiel Verbraucherschutz- oder Wettbewerbsverbänden ausgesprochen werden. Leider gibt es in dem Bereich auch viele schwarze Schafe, denen es eher auf die monetären Interessen als auf die Verbesserung des Datenschutzes ankommt.

Ferner können Abmahnung auch von Nutzern ausgesprochen werden, wobei dies bisher eher seltener der Fall war. Angesichts dessen, dass das Gesetz den Nutzern jedoch einen Schadensersatz bei Datenschutzverstößen zuspricht, könnte sich diese Sachlage noch ändern (Art. 82 Abs. 1 DSGVO).

Ferner können fehlerhafte Datenschutzerklärungen auch von Datenschutzbehörden mit Bußgeldern belegt werden. Immerhin geben die Behörden im Regelfall zuvor eine Möglichkeit zur Korrektur. Dennoch kostet ein amtliches Verfahren Zeit und Geld. Ferner sind Fehler in der Datenschutzerklärung häufig ein Anlass für die Behörde weiter zum Thema Datenschutz nachzuhaken, wodurch weitere Versäumnisse zu Tage treten können. 

Aufgrund der vorgenannten Risiken sollten Sie immer daran denken, dass die Datenschutzerklärung ein Aushängeschild Ihrer Datenverarbeitung ist und daher möglichst fehlerfrei sein sollte.

Mit einem Generator können Sie auch ohne Fachkenntnisse Datenschutzerklärungen erstellen. (Beispiel: Datenschutz-Generatordes Autors).

3. Wo muss die Datenschutzerklärung platziert werden?

Die Datenschutzerklärung sollte auf jeder Website enthalten sein. Zu empfehlen ist ein Link neben dem Link zu Impressum. Der Linktext sollte zumindest „Datenschutz“ lauten oder in erweiterter Form „Datenschutzerklärung“ oder „Datenschutzrichtlinie“.

Beispiel für einen Hinweis auf die Datenschutzerklärung im Fußbereich des UPLOAD Magazins.

Für die Datenschutzerklärung selbst kann eine gesonderte Webseite angelegt werden. Alternativ können Sie die Datenschutzerklärung auch durchaus unter dem Impressumstext platzieren, solange der oben genannte Link auf die Impressums-Seite verweist (der Link kann zum Beispiel auch zusammengefasst „Impressum/Datenschutz“ lauten).

Auch sollten Sie eine Datenschutzerklärung zum Bestandteil jeder E-Mail-Signatur machen. Denn die Informationspflichten gelten auch, wen Sie mit Nutzern nur per E-Mail kommunizieren.

Ferner sollten Sie einen Link zu Ihrer Datenschutzerklärung in Social-Media-Profilen  platzieren. Sofern dafür kein Platz vorgesehen ist, hilft es wie im Fall des Impressums, zumindest einen Link auf die Website unterzubringen. Der Link sollte jedoch darauf hinweisen, dass auf der Website die entsprechende Angaben zu erwarten sind (z.B., „Impressum/Datenschutz: https://drschwenke.de“). 

Beispiel eines Hinweises auf die eigene Datenschutzerklärung im Twitter-Profil des Autors.
Möglich ist auch der Einsatz sog. Sprechender Links, wie in dem obigen Beispiel des Instagram-Profils des Autors. Die Unterseite „website_blog_impressum_datenschutz“ existiert dabei gar nicht. Die Nutzer werden jedoch nach dem Klick auf den Link auf die Startseite der Website umgeleitet, wo sie die Links zu dem Blog und vor allem zum Impressum und der Datenschutzerklärung finden.

4. Ist ein Link auf die Datenschutzerklärung ausreichend?

Ein Link auf die Datenschutzerklärung ist nur dann ausreichend, wenn die Nutzer mit den dort aufgeführten Verarbeitungen rechnen können. D. h. die Datenschutzerklärung darf keine Verarbeitungsvorgänge enthalten, die für die Nutzer überraschend wären.

Da es hierbei auf die Art Ihrer Zielgruppe, die Aufmerksamkeit eines typischen Nutzers und weitere unklare Kriterien ankommt, sollten Sie lieber einen erläuternden Hinweis zu viel als zu wenig anbieten. Häufig ist auch eine zusätzliche Erläuterung in einem Onlineformular notwendig, damit eine Einwilligung wirksam ist oder sie sich darauf berufen können, dass die Verarbeitung der Teil einer vertraglichen Beziehung ist.

Die zusätzlichen Hinweise sollten als eine Art „Teaser“ an den Stellen aufgenommen werden, an denen die Nutzer ihre Daten eingeben oder sich mit Verfahren einverstanden erklären. Das sind im Regelfall Onlineformulare, wie zum Beispiel im Fall von Newslettern, Online-Bewerbungen oder Bestellungen in E-Shops. Wie ein solcher „Teaser“ aussehen sollte, erfahren sie weiter unten im Rahmen der Hinweise zum Newsletterversand.

5. Detailgrad, Verständlichkeit und Sprache

Mit der DSGVO ist der Umfang der Informationspflichten angestiegen (Art. 1314 DSGVO). Gleichzeitig verweist der Gesetzgeber aber auch darauf hin, dass die Information „präziser, transparenter, verständlicher und leicht zugänglicher Form“ erfolgen muss (Art. 12 Abs. 1 DSGVO).

Das hört sich nach einer Quadratur des Kreises an, zu deren Lösung eine Zusammenfassung der Datenschutzerklärung zu deren Beginn empfohlen wird. Das bedeutet, dass die Angaben zum Verantwortlichen, Kontaktdaten eines vorhanden Datenschutzbeauftragten, Arten der verarbeiteten Daten, die betroffenen Personen und die Zwecke der Verarbeitung bereits zu Beginn übersichtsartig und verständlich aufgeführt werden sollten. 

Je länger die eigentliche Datenschutzerklärung ist, desto eher sollte ihr eine Zusammenfassung (sog. „One-Pager“) vorgehen.

Ferner sollte die Datenschutzerklärung in derselben Sprache wie Ihr Onlineangebot verfasst werden, was vor allem bei mehrsprachigen Websites zu einem hohen Übersetzungsaufwand führen kann.

6. Inhalt der Datenschutzerklärung

Nach einer einführenden Übersicht folgt die detailliertere Beschreibung der einzelnen Verarbeitungsvorgänge. Für deren Gliederung und Darstellung gibt es keine bestimmten Vorgaben. 

Typischerweise werden jedoch die folgenden Inhalte aufgenommen:

  • vertraglichen Leistungen (zum Beispiel die Verarbeitung von Daten im Rahmen von Bestellvorgängen im Onlineshop); 
  • Verarbeitungen im Rahmen der Kommunikation mit den Nutzern (zum Beispiel Kontaktformular; Customer-Relationship-Management);
  • Direktmarketingmaßnahmen (zum Beispiel Newsletter); 
  • Webanalyse-; Tracking- und Onlinemarketingmaßnahmen (zum Beispiel Einsatz von Google Analytics; Affiliate-Systemen); 
  • Bewerbungsverfahren (z.B.; Einsatz von Online-Bewerbung-Plattformen); 
  • Einsatz von eingebetteten Fremdinhalten (z.B. YouTube-Videos);
  • externe Verarbeitung von Daten (z.B.; bei Facebook-Seiten).

Daneben müssen die Nutzer auch über die folgenden Punkte informiert werden:

  • Etwaige Übermittlung von Daten an andere Unternehmen; 
  • Übermittlungen in Drittländer (d.h. außerhalb der EU); 
  • Die Rechte der Nutzer als Betroffene (z.B.; Recht auf Auskunft oder Widerspruch) ;
  • sowie Rechtsgrundlagen der Verarbeitung (z.B.; Verarbeitung zu vertraglichen Zwecken; auf Grundlage einer Einwilligung oder auf Grundlage berechtigter Interessen).

Zusammenfassend enthalten Datenschutzerklärungen häufig gleichlautende Informationen, die jedoch individuell anhand Ihrer Verarbeitungsprozesse zusammengestellt werden müssen. Die nachfolgenden Hinweise geben Tipps zur Umsetzung von typischen Verarbeitungsvorgängen, wie zum Beispiel beim Hosting, Newslettern, Webanalyse oder Tracking zu Marketingzwecken.

7. Rechte der Nutzer und generelle Hinweise

Bevor Sie zur „Kür“ schreiten und auf die eigentlichen Verarbeitungen hinweisen, sollten Sie im Rahmen der „Pflicht“ die in jeder Datenschutzerklärung notwendigen Hinweise aufführen.

Dazu gehört die Belehrung über die Rechte der Nutzer, d.h.

  • Auskunftsrecht Art. 15 DSGVO
  • Berichtigungsrecht Art. 16 DSGVO
  • Widerspruchsrecht Art. 21 DSGVO
  • Recht auf Löschung und Einschränkung der Verarbeitung von Daten Art. 17 DSGVO
  • Recht auf Vergessenwerden Art. 17 DSGVO
  • Recht auf Datenübertragbarkeit Art. 20
  • Recht auf Beschwerde bei Aufsichtsbehörden Art. 77 DSGVO.
  • Recht auf Widerruf von Einwilligungen Art. 7 Abs. 3 DSGVO.

Des Weiteren sollten Sie über die ergriffenen Sicherheitsmaßnahmen, eventuelle Übermittlungen in Drittländer außerhalb der EU oder die Aufbewahrungsdauer der Daten der Nutzer informieren.

Beispiel eines Hinweises der Nutzer auf deren Rechte. Zum Teil findet man weitergehende Ausführungen, häufig mit (unschädlichen, aber nicht erforderlichen) Wiederholungen der Gesetzestexte.

8. Hosting

Im Regelfall betreiben Sie Ihre Website nicht auf einem eigenem Server, sondern mieten den Speicherplatz bei sogenannten Webhostern. Das bedeutet jedoch, dass die Webhoster auch die Daten Ihrer Nutzer speichern.

Daher sollten Sie bei Ihrem Webhoster, nach einem sogenannten Auftragsverarbeitungsvertrag fragen. Ein solcher Vertrag ist in der DSGVO vorgesehen und verpflichtet Ihren Webhoster die Daten Ihrer Kunden oder Nutzer zu schützen (Art. 28 Abs. 3 S. 1 DSGVO).

Dabei sollten Sie den Webhoster auch fragen, ob er die IP-Adressen Ihrer Nutzer speichert und wie lange. Nur so können Sie diese Information in der Datenschutzerklärung an Ihre Nutzer weitergeben. Laut Datenschutzbehörden sollte eine solche Speicherung nicht länger als 7 Tage lang erfolgen.

Ferner sollten Sie Ihre Website verschlüsselt, d. h. via „https“ ausliefern. Das gilt in jedem Fall, wenn Nutzer Eingaben über Onlineformulare, zum Beispiel bei Kontaktanfragen, bei Newslettern oder bei Onlineshops tätigen (s. Entscheidung des LG Würzburg, 13.09.2018 – 11 O 1741/18). Ansonsten entspricht Ihr Onlineangebot nicht dem durch die DSGVO gefordertem Stand der Technik (Art. 32 Abs. 1 DSGVO).

Wichtig: Schließen Sie mit Ihrem Webhoster einen sog. Auftragsverarbeitungsvertrag ab. In einem solchen Vertrag verpflichtet sich der Webhoster entsprechend den gesetzlichen Vorgaben zum Schutz der Daten Ihrer Nutzer (Beispiel: Domaintechnik.at)

9. Ihre Kernleistungen

Wenn Ihr Onlineangebot dazu dient, Kunden zu gewinnen (z.B., wenn Sie Ihre Leistungspalette beschreiben), Leistungen gegenüber Kunden online erbringen (z.B., per E-Mail beraten) oder Sie Ihr Onlineangebot zur Erbringung der Leistungen einsetzen (z.B., Online-Shop, Online-Forum, mobile App), dann sollten Sie auch über die mit Ihren Leistungen zusammenhängenden Verarbeitungen personenbezogener Daten informieren.

Derartige Erläuterungen können zum Beispiel wie folgt lauten:

Auszug aus der Darstellung von Datenverarbeitungen innerhalb eines Maklerangebotes.

Falls Sie die erhobenen Daten für andere Zwecke als die Erfüllung Ihrer vertraglichen Pflichten speichern, dann sollten Sie Ihre Kunden ausdrücklich darüber belehren. Zum Beispiel, wenn sie das Kaufverhalten von Kunden oder die geposteten Inhalte in einem Onlineforum zu Zwecken der Schaltung einer inhaltsbezogenen Werbung einsetzen. In derartigen Fällen kann es zudem notwendig sein, eine Einwilligung der Kunden einzuholen.

10. Kontaktformulare

Häufig finden sich bei Kontaktformularen Kontrollkästchen mit Einwilligungserklärungen, z.B.

„[ ] Ich erkläre mich damit einverstanden, dass meine Daten zur Beantwortung meiner Anfrage verarbeitet werden.“

Eine Einwilligungserklärung ist jedoch nicht notwendig. Einwilligung sollten generell nach Möglichkeit vermieden werden. Sie sind z.B. erst bei Nutzern, die das 16. Lebensjahr vollendet haben wirksam und müssen samt ihrer Voraussetzungen nachgewiesen werden (Hinweis: in manchen Fällen seine Einwilligung notwendig, zum Beispiel grundsätzlich bei der Zusendung von Newslettern).

Darüber hinaus dürfen Sie die übermittelten Daten der Anfragenden entweder im Rahmen einer (vor) vertraglichen Beziehung beantworten (Art. 6 Abs. 1 lit. b. DSGVO) oder weil Sie ein berechtigtes Interesse an der Beantwortung aufgrund der Erwartungshaltung der Nutzer haben (Art. 6 Abs. 1 lit. f. DSGVO).

Es reicht also lediglich ein Hinweis auf die Datenschutzerklärung und die Widerrufsmöglichkeit, z.B.:

„Für Hinweise zur Verarbeitung Ihrer Eingaben und Widerrufsmöglichkeiten, verweisen wir auf unsere Datenschutzerklärung

11. Newsletter

Für den Newsletter ist immer eine gesonderte und ausdrückliche Einwilligung der Nutzer erforderlich, die nicht in der Datenschutzerklärung „versteckt“ sein darf. Vielmehr müssen Nutzer aktiv eine „Abonnieren“-Schaltfläche klicken.

Falls die Einwilligung den Newsletter zugleich mit einer anderen Erklärung verbunden wird (z.B., wenn Nutzer den AGB eines Onlineshops oder den Teilnahmebedingungen eines Gewinnspiels zustimmen ), ist ein gesondertes Kontrollkästchen erforderlich. Dieses Kontrollkästchen darf nicht vorangehakt sein. Ansonsten können Sie nicht nachweisen, dass der Nutzer nicht nur den AGB, sondern auch dem Empfang der Newsletter zustimmen wollte.

Ferner müssen die Anmeldeverfahren zu Nachweiszwecken in einem Double-Opt-In-Verfahren erfolgen und protokolliert werden, worauf ebenfalls hinzuweisen ist. Das heißt der Newsletterpassus sollte z.B. wie folgt lauten:

In einem Newsletterformular sollten Sie darauf hingewiesen, dass zum Beispiel eine Erfolgsmessung stattfindet und das Teil der Einwilligungserklärung ist. Ebenso sollte ein Hinweis auf die Erfolgsmessung und das Widerrufsrecht erfolgen. Ohne den Hinweis auf die Erfolgsmessung (die wiederum in der Datenschutzerklärung ausführlicher beschrieben werden soll) könnten die eingeholten Einwilligungen als unwirksam eingestuft werden, da Abonnenten zumindest laut Datenschutzbehörden typischerweise nicht damit rechnen, dass deren Abruf des Newsletters protokolliert wird. Hinweis: Nach Ansicht des Autors ist der Begriff „Erfolgsmessung“ ausreichend. Wenn Sie auf Nummer sicher gehen möchten, dann sollten Sie die Hinweise wie folgt präzisieren „Erfolgsmessung (Öffnung der Newsletter durch die Empfänger und Klicks auf die im Newsletter enthaltenen Links)“.

In der Datenschutzerklärung selbst sollten die Nutzer insbesondere aufgeklärt werden, welche Daten protokolliert werden, welche Dienstleister für den Versand eingesetzt werden oder wie die eingesetzten Methoden zu Erfolgsmessung funktionieren. Ferner müssen die Nutzer auch wissen, wie sie einen Widerspruch erklären können und wann deren Daten gelöscht werden.

Falls Sie einen Versanddienstleister (z.B., Mailchimp) einsetzen, sollten Sie die Nutzer nicht nur darüber informieren, sondern mit den Versanddienstleistern spezielle Auftragsverarbeitungsverträge abschließen, z.B. hier im Fall von Mailchimp).

Newsletter sollten zudem immer im Double-Opt-In Verfahren versendet werden, d. h. erst wenn die Nutzer eine Bestätigung E-Mail mit einem Aktivierungslink erhalten und diesen geklickt haben. Ansonsten können Sie eine Einwilligung nicht nachweisen. Beachten Sie bitte, dass Sie Bestätigungs-E-Mail keine Werbung enthalten darf. Dagegen muss sie den o.g. Einwilligungstext wiederholen (weitere Hinweise zu Newslettern erhalten Sie im Blog des Autors).

12. Webanalyse, Tracking und der Cookie-Hinweis

Cookies sind die traditionelle Methode, um wiederkehrende Nutzer zu erkennen und deren Verhalten zu protokollieren. Dazu werden im Regelfall kleine Dateien (die „Cookies“) von Browsern gespeichert. Die gleiche Wirkung haben moderne „Fingerprint“-Techniken, die Nutzer anhand diverser technischer Details individualisieren (z.B. anhand der Rechengeschwindigkeit und individuellen Zusammenstellung der verwendeten Browser-Plugins oder Standortdaten).

Laut der Datenschutzbehörden ist im Regelfall eine ausdrückliche Einwilligung in den Einsatz von Cookies notwendig. Das gilt zumindest dann, wenn die Cookies nicht erforderlich sind (erforderlich sind zum Beispiel Cookies zur Speicherung eines Warenkorbs in einem Onlineshop oder eines Log-Ins auf einer Online-Plattform).

Eine Einwilligung kann zum Beispiel mit einem Cookie-Banner eingeholt werden. Allerdings sind damit nicht die überwiegend verbreiteten Cookie-Banner zu verstehen, laut denen der Nutzer dem Tracking zustimmt, wenn er die Website weiterhin nutzt. Denn in solchen Fällen werden Cookies bereits beim Besuch der Website gesetzt, d.h. bevor ein Nutzer Ihnen zugestimmt hat.

Das bedeutet, wenn Sie den Forderungen der Datenschutzbehörden entsprechen möchten, dann dürfte Ihre Website beim ersten Aufruf gar keine Cookies setzen (z.B., dürfte der Google-Analytics-Code noch nicht in die Website integriert sein). Erst wenn die Nutzer in dem Cookie-Banner auf „Einverstanden“ klicken, darf die Website samt der Tracking Tools und Cookies neu geladen werden.

Sie können die Nutzer dabei auf freiwilliger Basis um eine Einwilligung in das Tracking bieten oder die Einwilligung zur Zugangsvoraussetzung Ihrer Website machen. Doch Vorsicht, wenn die Zielgruppe z.B. jünger als 16 Jahre alt ist, da die Einwilligung dann unwirksam wäre (Art. 8 Abs. 1 DSGVO). Eine Unwirksamkeit droht auch, wenn oder die Nutzer auf den Zutritt angewiesen sind (z.B., bei Mitgliedern einer Community). Dann könne die Zwangslage einer wirksamen Einwilligung stehen (sog. „Kopplungsverbot“ im Art. 7 Abs. 4 DSGVO).(Beispiel: Nike.de)

13. Cookies ohne Opt-In

Viele Unternehmen widersprechen den Datenschutzbehörden und setzen Cookies auf Grundlage ihrer berechtigten Interessen an Webanalysen und Onlinemarketing (Art. 6 Abs. 1 lit. f. DSGVO). Sie meinen, dass die Nutzer mit derartigen Verfahren rechnen müssen und die Information in der Datenschutzerklärung sowie Widerspruchsmöglichkeiten zu deren Schutz genügen.

Die Datenschutzbehörden wiederum verhängen, zumindest zum Zeitpunkt der Publikation dieses Artikels, keine sofortigen Bußgelder. Stattdessen fordern sie im ersten Schritt zur Einführung eines Einwilligungsprozesses oder Verzicht auf die Trackingmaßnahmen auf. Da die Rechtslage nicht klar ist, werden in diesem Fall auch so gut wie keine Abmahnung ausgesprochen. 

Für Sie bedeutet diese nicht gerade einfache Rechtslage:

  • Wenn das Tracking für sie von hoher wirtschaftlicher Relevanz ist, dann sollten Sie prüfen ob die wirtschaftlichen Vorteile die möglichen Risiken überwiegen.
  • Wenn sie lediglich eine Webanalyse durchführen möchten, dann setzen Sie vorzugsweise Tools ein, die Nutzer nur innerhalb Ihrer Website erfassen (zum Beispiel das Tool Matomo, ehemals Piwik).
  • Wenn Sie Tools einsetzen, die Website-übergreifend tätig sind, dann sollten Sie im Rahmen der zur Verfügung gestellten Optionen die möglichst datenschutzfreundliche wählen (z.B., bei Google Analytics die IP-Adresse maskieren oder die Speicherung der Daten auf 14 Monate beschränken – eine Anleitung finden Sie im Blog des Autors).

Daneben sollten Sie über die jeweils eingesetzten Cookies und Tools in der Datenschutzerklärung detailliert informieren. Dazu sollten Sie auch auf die Datenschutzerklärung der jeweiligen Anbieter verweisen und auf die Möglichkeiten der Nutzer, der Erfassung zu widersprechen. Dabei handelt es sich meistens um die Möglichkeit einen Link oder eine Schaltfläche zu klicken. Dadurch wird in den Browsern der Nutzer ein sogenannter Opt-Out-Cookie gespeichert, mit dessen Hilfe die Tracking-Anbieter erkennen können, dass Tracking unerwünscht ist.

Ein Datenschutzpassus für Google Analytics kann zum Beispiel wie in diesem Beispiel aussehen. Das Opt-Out per Link am Ende des Hinweises wird empfohlen und wurde in diesem Fall auf der Plattform WordPress mit dem Plugin „Google Analytics Opt-Out“ umgesetzt.

Lesen Sie dazu auch: „Opt-In oder Opt-Out? Cookies unter der Datenschutzgrundverordnung“.

14. Social Sharing und Embedding

Viele Drittanbieter bieten Bilder, Videos, Schriftarten, Postings, Widgets oder Social-Sharing-Buttons zur Einbindung in Webseiten ein. Dabei werden die auf den Servern der Drittanbieter gespeicherten Elemente in einem so genannten Inlineframe in die Webseite eingebettet. Das bedeutet, dass die Drittanbieter wiederum auf Daten der Webseitenbesucher zugreifen können. 

Häufig werden dabei auch Cookies gesetzt, sodass die eingebundenen Inhalte praktisch den zuvor beschriebenen Trackingmaßnahmen entsprechen. Daher gilt das oben gesagte, insbesondere im Hinblick auf eine Opt-In-Pflicht, die zumindest von den Datenschutzbehörden verlangt wird.

Vorzugsweise sollten Sie daher bei jeden eingebunden Inhalte prüfen, ob eine Datenschutz freundliche Möglichkeit der Einbindung besteht. Zum Beispiel bietet YouTube eine Möglichkeit Videos ohne Cookies einzubinden oder es können Social-Media-Schaltflächen von Drittanbietern eingesetzt werden, die den Plattformanbietern keinen direkten Datenzugriff erlauben. 

Die Prinzipien des „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ verpflichten Sie die möglichst zulässige Option der Einbindung fremder Inhalte (und generell beim Einsatz fremder Dienste) die datenschutzfreundlichste Einstellung zu wählen. (Beispiel: Generierung eines datenschutzfreundlicheren Einbindungscodes für YouTube)

Ebenso sollte insbesondere der im Visier der Verbraucher- und Datenschützer stehende „Like“-Button gar nicht oder nur mit einer sog. 2-Klick-Lösung verwendet werden.

Unter dem Namen „Shariff“ bietet der Heise-Verlag eine Sharinglösung an, bei der die Social Media Plattformen nicht auf die Daten der Nutzer zugreifen können.

Schriftarten oder JavaScripte sollten Sie nach Möglichkeit vom eigenen Server aus abrufen. Allerdings spricht rein rechtlich wenig gegen den Abruf von fremden Servern, wenn die Daten der Nutzer sonst zu keinen Zwecken verarbeitet werden (z.B., kann davon derzeit im Fall von Google-Fonts oder Typekit-Schriftarten ausgegangen werden).

Des Weiteren sollten Sie eingesetzte Plugins, Templates oder sonstige Module Ihrer Website, darauf überprüfen, ob und wie sie die Daten Ihrer Nutzer erheben.

15. Verstecke Verarbeitungen

Webseiten sind heutzutage vielfach modular aufgebaut, was bedeutet, dass zum Beispiel Funktionen mit Hilfe von „Plugins“ oder Websitegestaltung mit Hilfe von „Templates“ umgesetzt werden.

Vor allem bei kostenlosen Angeboten sollten Sie darauf achten, ob diese Module mehr tun als ihre Funktion zu erfüllen. So können Sie zum Beispiel Tracking-Skripte einbinden und sich so finanzieren.

Sie können zum Beispiel Tracking-Blocker-Tools, wie das Browser-Plugin „Disconnect“ nutzen, um zu prüfen, welche Tracking Tools auf Ihren Webseiten aktiv sind.

16. Aktualisierungen

Eine Datenschutzerklärung muss immer aktualisiert werden, wenn sich Ihre Datenverarbeitung ändert. So könnten Sie zum Beispiel neue Tracking-Tools einsetzen oder bisherige entfernen. 

Das Gesetz legt nicht fest, ob und wann und wie Nutzer über Updates der Datenschutzerklärung informiert werden müssen. Auch sind keine Gerichtsfälle bekannt, in denen dies problematisiert wurde. Umgekehrt muss man auch bedenken, dass Nutzer Updatehinweise per E-Mail als Belästigung oder Gerichte als Spam betrachten könnten. Häufig werden Sie zudem die E-Mail-Adressen der Nutzer nicht kennen. 

Daher sollten Sie Änderung der Datenschutzerklärung prinzipiell nur bei laufenden Vertragsverhältnissen versenden (zum Beispiel an Mitglieder eines Onlineforums, Empfängern eines Newsletters oder Kunden eines Cloud-Dienstes). In diesen Fällen dürfen die Nutzer mit Informationen zum Update der Datenschutzerklärung rechnen, zumindest wenn die Daten der im größeren Umfang als bisher verarbeitet werden.

In allen übrigen Fällen sollten Sie zumindest daran denken, Ihre Datenschutzerklärung stets aktuell zu halten.

17. Fazit

Die datenschutzrechtlichen Informationspflichten einzuhalten, setzt viel Sorgfalt voraus und ist ohne vertiefte Einarbeitung oft kaum zu meistern. Das bedeutet jedoch nicht, dass Datenschutzfragen vernachlässigt werden sollten. Ganz im Gegenteil sollte die Datenschutzerklärung als Aushängeschild einer Website so vollständig wie möglich sein und keine Zweifel an der Zulässigkeit Ihrer Verarbeitungsprozesse aufkommen lassen.

Das gilt ganz besonders für Newsletter- und Trackingverfahren. Ansonsten droht das Risiko von Abmahnungen, die neben Kosten von ca. 500 bis 1.000 Euro, die Pflicht zur Abgabe einer strafbewehrten Unterlassungserklärung mit sich bringen können. Das bedeutet, bei erneuten Datenschutzfehlern kann eine Vertragsstrafe von ca. 2.500 bis 5.000 Euro fällig werden. Angesichts der Unübersichtlichkeit des Datenschutzrechts, sollten Sie sich nicht unter dieses Damoklesschwert begeben.


Dieser Artikel gehört zu: UPLOAD Magazin 64

Die Datenschutz-Grundverordnung DSGVO hat in diesem Jahr für viel Wirbel gesorgt. Mit einigen Monaten Abstand haben wir nun einen umfassenden Schwerpunkt für Sie rund um das wichtige Thema Datenschutz zusammengestellt. Wir ziehen darin Bilanz zur DSGVO, haben einen Praxisleitfaden mit acht Punkten für Ihre Compliance, haben Fachleute nach Ihrer Meinung zu DSGVO und e-Privacy-Verordnung befragt, beschäftigen uns mit dem Thema Cookies und haben Tipps zum technischen Datenschutz für Sie. Plus: Wie Sie den richtigen Influencer für eine Kampagne auswählen

Dr. jur. Thomas Schwenke, LL.M. (UoA), Dipl.FinWirt (FH), ist Rechtsanwalt in Berlin, berät international Unternehmen sowie Agenturen im Marketingrecht, und Datenschutzrecht, Vertragsrecht und E-Commerce, ist Datenschutzsachverständiger, zertifizierter Datenschutzbeauftragter sowie Referent, Blogger, Podcaster und Buchautor. Website: https://drschwenke.de, Facebook: fb.com/raschwenke, Instagram: @tschwenke, Twitter: @thsch, Podcast: Rechtsbelehrung (Hörtipp: Folge 55 DSGVO: Datenschutzerklärung FAQ), DSGVO-Datenschutzerklärung: Datenschutz-generator.de.

NEU: Onlinekurse beim UPLOAD Magazin

(Foto: © GaudiLab, depositphotos)

Jetzt mehr darüber erfahren...

 

12 Gedanken zu „Datenschutzerklärung: Das muss enthalten sein

  1. Vielen Dank für diesen äußerst hilfreichen Artikel!

    Hierzu eine Frage, ist es problematisch sämtliche Texte innerhalb der Datenschutzerklärung in der “Du-Form” aufzuführen? Denn wenn man im kompletten Blog in der “Du-Form” schreibt ist es etwas störend im Impressum und in der Datenschutzerklärung plötzlich in das förmliche Sie zu wechseln. Oder gibt es hier gesetzliche Auflagen? Vorab vielen Dank für die Einschätzung.

    Tobias H.

  2. Hallo Herr Schwenke, darf man sich duzen, wie bei den Bloggern üblich ist?

    Also ich habe meinen Datenschutz und das Impressum meistens durch den Impressum-Generator bei E-recht24.de und dem traue ich schon über den Weg. Ich nutze auch gerne Google Produkte und muss nur noch diese neue EU-Cookie-Bar auf allen Projekten umsetzen, damit das schon mal rechtskonform ist, zumindest aus Google Sicht. Deutsche Gesetze gibt es ja zu den Cookies noch nicht, soweit ich weiss.

    Leider ist mir das Thema mit dem Google Vertrag vollkommen entgangen und da werde ich zeitnah etwas machen und mir mal ein Exemplar zum Ausfüllen ausdrucken. Wenn mit Google dann schon mal alles richtig oder. Jedenfalls, falls jemand in seinem WordPress Blog auf das WordPress Plugin “Google Analytics Dashboard for WP” setzt, hat in den Einstellungen die Möglichkeit, dass die übertragene IP anonymisiert wird. Das ist ein sehr wichtiger Aspekt, wie auch im obigen Artikel geschrieben steht.

    Piwik setze ich nicht ein und sonst nur Adsense und Analytics. Das sollte reichen.

    Wie der obige Vorredner schon meinte, ja schon ein bisschen komisch von dem DU zu dem SIE in den rechtlichen Seiten des Blogs. Aber mich und meine Leser sollte es nicht stören.

Schreiben Sie einen Kommentar