Der Bundesverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) bemängelt in seiner Presseerklärung vom 28. Januar unter anderem die häufig fehlerhaften Datenschutzerklärungen vieler Webseitenbetreiber. Gerade kleine Firmen ohne einen Datenschutzbeauftragten scheinen hier regelmäßig überfordert zu sein. Je nach Angebot und Ausgestaltung kann es ziemlich komplex sein, eine individuell passende und rechtskonforme Datenschutzerklärung für die eigene Webseite zu erstellen. Nachfolgend erhalten Sie einen Überblick zu einigen Anforderungen und Tipps für die Erstellung einer Webseiten-Datenschutzerklärung.  

Viele helfen sich mit Online-Generatoren. Das mag für sehr einfache Strukturen noch funktionieren. Doch sobald besondere Anwendungen etwa für Bestellwesen, Logins, Kommunikation, Werbung oder Plugin und Links zu Social Media Plattformen hinzukommen, muss auch wer einen Generator nutzt, genau wissen, was, welche Technik und Diensteanbieter hinter seinem Internetauftritt stecken. Anderenfalls kommen Datenschutzerklärungen heraus, die mit unnötigen bis schlichtweg falschen Angaben den Webseitenbetreiber in größte Schwierigkeiten bringen können. Fehlende oder fehlerhafte Angaben bei beispielsweise den Informationspflichten können sogar dazu führen, dass aufgrund der mangelhaften Transparenz eine Datenverarbeitung rechtswidrig ist. Dagegen können Verbraucherschutzverbände genauso gut vorgehen wie Wettbewerber oder Datenschutzbehörden.

Regelmäßige Aktualisierungen prüfen

Hinzu kommt, dass auch die Datenschutzerklärung einer Webseite immer aktuell gehalten werden muss. Insbesondere bei der Nutzung von Dienstanbietern muss immer wieder geschaut werden, ob sich da etwas geändert hat. Beispielsweise hat Google seinen Firmensitz geändert und seit dem 22. Januar 2019 auch die Datenschutzerklärung. Noch funktioniert der alte Link, aber sicherheitshalber sollte das aktualisiert werden. Gleiches gilt für die Firmenanschrift von Google. Bisher war diese in den USA. Nun wird Google Ireland Limited, Barrow Street, Dublin 4, Irland angegeben. Zitat aus der Datenschutzerklärung von Google:

„Bei Nutzern, die ihren gewöhnlichen Aufenthalt im Europäischen Wirtschaftsraum oder der Schweiz haben, ist Google Ireland Limited der für Ihre Daten zuständige Verantwortliche, sofern dies in den Datenschutzhinweisen eines bestimmten Dienstes nicht anders angegeben ist. Google Ireland Limited ist demnach das mit Google verbundene Unternehmen, welches für die Verarbeitung Ihrer Daten und die Einhaltung der anwendbaren Datenschutzgesetze verantwortlich ist. […]Diese Datenschutzerklärung gilt für alle Dienste, die von Google LLC und seinen verbundenen Unternehmen angeboten werden, einschließlich YouTube, Android und Dienste, die auf Websites Dritter bereitgestellt werden, wie Werbedienste.“

Auch Facebook hat eine neue Firmenanschrift. Wenn Ihre Webseite auf Facebook verlinkt und/oder Sie Facebook in Ihrer Datenschutzerklärung erwähnen, dann sollten Sie den Link und Anschrift aktualisieren wie folgt – Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Übrigens erhalten meine Kunden, denen ich eine Datenschutzerklärung für ihre Webseite geliefert habe, auch selbstverständlich unaufgefordert die aktualisierte Version ihrer Webseiten-Datenschutzerklärung.

Allgemeine Informationen der Webseiten Datenschutzerklärung.

Mit Inkrafttreten der DSGVO geraten Datenschutzerklärungen zwangsläufig länger als zu BDSG-aF Zeiten. Daher sollten Wiederholungen, unverständliche Formulierungen und unnötige Inhalte vermieden werden. Beliebt ist auch das Herunterleiern von Teilen des Art. 4 DSGVO mit seinen Begriffsbestimmungen. Zugegeben – dafür mag es sprechen, auch für den juristischen Laien verständlich sein zu wollen, aber dann würde ich eher einen Link zum Gesetzestext einbauen, als nicht vorgeschriebene Endlostexte. Auch beim nächsten Punkt ist es Geschmacksache, aber ich finde die inflationär eingesetzte Floskel, dass der jeweilige Webseitenbetreiber Datenschutz ernst nimmt, eher verzichtbar. Absehen von der rechtlichen Verpflichtung sollte diese Ernsthaftigkeit eine selbstverständliche Mindestvoraussetzung sein. Und deren Betonung erweckt in mir ähnliche Assoziationen wie der Hilferuf eines 4-Sterne Restaurants, das mit dem Hinweis wirbt, nur frische Zutaten in den angepriesenen Speisen zu verwenden. Also, mich macht das stutzig.

Übersichtlichkeit auf einen Klick

Die Datenschutzerklärung muss übersichtlich, transparent und in den Sprachen Ihrer wichtigsten Zielgruppen verfasst sowie mit einem Klick erreichbar sein. Sagen Sie am besten gleich zu Beginn, wer Verantwortlicher ist und wie Ihr Datenschutzbeauftragter erreicht werden kann. Eine eindeutig zuzuordnende E-Mail Anschrift reicht aus. Sofern kein Datenschutzbeauftragter bestellt werden muss, können Sie den Passus zum Datenschutzbeauftragten weglassen. Art. 13 Abs. 1 lit. a DS-GVO verlangt aber die Angabe von Namen und Kontaktdaten des Verantwortlichen! Der Name ist vollständig und bei juristischen Personen mit Firmierung anzugeben. Als Kontaktdatum ist zumindest eine zustellungsfähige Anschrift zu nennen. Viele haben an dieser Stelle einen Verweis oder Link zum Impressum. Das ist in Ordnung, solange die vorgeschriebene Transparenz gewährleistet bleibt. Nach meiner Meinung ist das jedoch nicht unbedingt gegeben, wenn es nur ein Verweis ist. Beim Link muss darauf geachtet werden, dass er funktioniert.

 Grundgerüst einer Datenschutzerklärung

Die nachfolgenden blau/kursiv geschriebenen Module A. und B. zum Aufbau eines Grundgerüsts für eine Webseiten-Datenschutzerklärung, sind dem Formularhandbuch Datenschutzrecht Koreng/Lachmann, erschienen im C.H.Beck Verlag, entnommen. Das Muster enthält sowohl allgemeine Informationen (A.) wie auch eventuell notwendig werdende zusätzliche (B.) zu weiteren Verarbeitungsvorgängen und Auftragsverarbeitern. Wie beschrieben handelt es sich bei den folgenden Beispielen um eine Basis, die für einfache Webseiten ausreichen kann. In eckige Klammern gesetzte Formulierungen müssen ergänzt oder gestrichen werden. –

A. Datenschutzerklärung

Information über die Erhebung personenbezogener Daten

(1) Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.

(2) Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DS-GVO) ist [Name, ladungsfähige Anschrift, E-Mail-Adresse] (siehe unser Impressum). [Unseren Datenschutzbeauftragten erreichen Sie unter [Datenschutz@example.com] oder unserer Postadresse mit dem Zusatz „der Datenschutzbeauftragte“.]

(3) Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.

(4) Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für werbliche Zwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren. Dabei nennen wir auch die festgelegten Kriterien der Speicherdauer.

2. Ihre Rechte

(1) Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

–  Recht auf Auskunft,
–  Recht auf Berichtigung oder Löschung,
–  Recht auf Einschränkung der Verarbeitung,
–  Recht auf Widerspruch gegen die Verarbeitung,
–  Recht auf Datenübertragbarkeit.

(2) Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

3. Erhebung personenbezogener Daten bei Besuch unserer Website

(1) Bei der bloß informatorischen Nutzung der Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO):

–  IP-Adresse
–  Datum und Uhrzeit der Anfrage
–  Zeitzonendifferenz zur Greenwich Mean Time (GMT)
–  Inhalt der Anforderung (konkrete Seite)
–  Zugriffsstatus/HTTP-Statuscode
–  jeweils übertragene Datenmenge
–  Website, von der die Anforderung kommt
–  Browser
–  Betriebssystem und dessen Oberfläche
–  Sprache und Version der Browsersoftware.

(2) Zusätzlich zu den zuvor genannten Daten werden bei Ihrer Nutzung unserer Website Cookies auf Ihrem Rechner gespeichert. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt (hier durch uns), bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen.

(3) Einsatz von Cookies:

1.a) Diese Website nutzt folgende Arten von Cookies, deren Umfang und Funktionsweise im Folgenden erläutert werden:

–  Transiente Cookies (dazu b)
–  Persistente Cookies (dazu c).

1.b) Transiente Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihres Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Website zurückkehren. Die Session-Cookies werden gelöscht, wenn Sie sich ausloggen oder den Browser schließen.

1.c) Persistente Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann. Sie können die Cookies in den Sicherheitseinstellungen Ihres Browsers jederzeit löschen.

1.d) Sie können Ihre Browser-Einstellung entsprechend Ihren Wünschen konfigurieren und z. B. die Annahme von Third-Party-Cookies oder allen Cookies ablehnen. Wir weisen Sie darauf hin, dass Sie eventuell nicht alle Funktionen dieser Website nutzen können.

1.e) [Wir setzen Cookies ein, um Sie für Folgebesuche identifizieren zu können, falls Sie über einen Account bei uns verfügen. Andernfalls müssten Sie sich für jeden Besuch erneut einloggen.]

1.f) [Die genutzten Flash-Cookies werden nicht durch Ihren Browser erfasst, sondern durch Ihr Flash-Plug-in. Weiterhin nutzen wir HTML5 storage objects, die auf Ihrem Endgerät abgelegt werden. Diese Objekte speichern die erforderlichen Daten unabhängig von Ihrem verwendeten Browser und haben kein automatisches Ablaufdatum. Wenn Sie keine Verarbeitung der Flash-Cookies wünschen, müssen Sie ein entsprechendes Add-On installieren, z. B. „Better Privacy“ für Mozilla Firefox (https://addons.mozilla.org/de/firefox/addon/betterprivacy/) oder das Adobe-Flash-Killer-Cookie für Google Chrome. Die Nutzung von HTML5 storage objects können Sie verhindern, indem Sie in Ihrem Browser den privaten Modus einsetzen. Zudem empfehlen wir, regelmäßig Ihre Cookies und den Browser-Verlauf manuell zu löschen.]

B. Ergänzende Informationen

4. Weitere Funktionen und Angebote unserer Website

(1) Neben der rein informatorischen Nutzung unserer Website bieten wir verschiedene Leistungen an, die Sie bei Interesse nutzen können. Dazu müssen Sie in der Regel weitere personenbezogene Daten angeben, die wir zur Erbringung der jeweiligen Leistung nutzen und für die die zuvor genannten Grundsätze zur Datenverarbeitung gelten.

(2) Teilweise bedienen wir uns zur Verarbeitung Ihrer Daten externer Dienstleister. Diese wurden von uns sorgfältig ausgewählt und beauftragt, sind an unsere Weisungen gebunden und werden regelmäßig kontrolliert.

(3) Weiterhin können wir Ihre personenbezogenen Daten an Dritte weitergeben, wenn Aktionsteilnahmen, Gewinnspiele, Vertragsabschlüsse oder ähnliche Leistungen von uns gemeinsam mit Partnern angeboten werden. Nähere Informationen hierzu erhalten Sie bei Angabe Ihrer personenbezogenen Daten oder untenstehend in der Beschreibung des Angebotes.

(4) Soweit unsere Dienstleister oder Partner ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraumen (EWR) haben, informieren wir Sie über die Folgen dieses Umstands in der Beschreibung des Angebotes.

5. Widerspruch oder Widerruf gegen die Verarbeitung Ihrer Daten

(1) Falls Sie eine Einwilligung zur Verarbeitung Ihrer Daten erteilt haben, können Sie diese jederzeit widerrufen. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung Ihrer personenbezogenen Daten, nachdem Sie ihn gegenüber uns ausgesprochen haben.

(2) Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf die Interessenabwägung stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Dies ist der Fall, wenn die Verarbeitung insbesondere nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist, was von uns jeweils bei der nachfolgenden Beschreibung der Funktionen dargestellt wird. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen.

(3) Selbstverständlich können Sie der Verarbeitung Ihrer personenbezogenen Daten für Zwecke der Werbung und Datenanalyse jederzeit widersprechen. Über Ihren Werbewiderspruch können Sie uns unter folgenden Kontaktdaten informieren: [alle Kontaktdaten].

……..

Wichtig: Weitere Bausteine wie mobile Apps, kommentierbare Blogs, Social Media Plugins, Kontaktformulare, Newsletter, E-Commerce, Webanalysedienste usw., sind damit nicht abgedeckt. Wer sich da hineinarbeiten möchte, findet ebenfalls im Formularhandbuch Datenschutzrecht von Koreng/Lachmann wertvolle Hintergrundinformationen sowie Empfehlungen mit Textvorschlägen.

Autor und Bild: Daniela Maria Hübsch