Datenschutzerklärung DSGVO Muster

So erstellen Sie sie richtig.

Die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDGS-neu) verpflichten Websitebetreiber zu deutlich mehr Transparenz beim Datenschutz. Ein wichtiges Instrument dabei ist die Datenschutzerklärung. Wir beantworten die wichtigsten Fragen dazu.

Was ist eine Datenschutzerklärung?

In der Datenschutzerklärung beschreiben Sie als Betreiber einer Internetseite (Homepage des Vereins, Online-Shop etc.), was mit den personenbezogenen Daten geschieht, die ein Nutzer beim Besuch Ihrer Website hinterlässt.

Das betrifft nicht nur die vom Nutzer in das Kontaktformular, in Kommentaren oder bei einer Bestellung selbst eingegebenen Daten, sondern auch automatisch erzeugte und übermittelte Daten (Server Log Files) wie die IP-Adresse des Nutzergeräts, der genutzte Browser oder das Betriebssystem.

Wann brauche ich eine Datenschutzerklärung?

Jeder, der in der EU oder aus dem Ausland eine für EU-Bürger bestimmte Website oder Homepage betreibt, muss laut DSGVO eine Datenschutzerklärung auf seiner Seite haben – ob er einen kleinen privaten Blog betreibt, eine Vereinshomepage oder einen kompletten Online-Shop.

Die Pflicht gilt für alle Webseitenbetreiber, also Privatpersonen, Gruppen, Behörden, Verbände, Vereine und Unternehmen gleichermaßen. Dank der aktuellen Technologien erhebt jeder Betreiber personenbezogene Daten, die er auswerten könnte.

Dazu reicht es schon aus, die Website extern hosten zu lassen (Server-Logfiles) oder einen Homepage-Baukasten zu verwenden. Alle Content-Management-Systeme erheben persönliche Daten, selbstverständlich auch Facebook- und Instagram-Pages.

Selbst wenn Sie diese Daten nicht selbst nutzen, müssen Sie angeben, dass sie erhoben werden können und wer außer Ihnen darauf Zugriff hat.

Wo finde ich kostenlose und DSGVO-konforme Muster, Vorlagen und Checklisten?

Komplette Vorlagen für Datenschutzerklärungen gibt es viele. Allerdings können Sie solche Muster-Datenschutzerklärungen nicht direkt kopieren oder übernehmen, denn die technischen Voraussetzungen Ihrer eigenen Homepage sind ja individuell.

Sinnvoller ist es, sich die auf Ihre Website zutreffenden Bestandteile einer Datenschutzerklärung zusammenstellen zu lassen. In einem Generator beantworten Sie eine Reihe von Fragen in Form einer Checkliste.

Der Generator stellt dann die erforderlichen Textteile zu einer angepassten Datenschutzerklärung zusammen, die Sie auf Ihre Website einbinden können.

Was gehört in die Erklärung?

Sie müssen genau, korrekt und gut verständlich erläutern, welche Daten Sie auf Ihrer Internetseite erheben und wie Sie mit diesen Daten umgehen.

Geben Sie also an, wo (Serverstandort) und wie lange Sie die Daten speichern und welche technischen Auswertungsmöglichkeiten Sie nutzen.

Hierzu gehören beispielsweise Cookies, aber auch Analysen und statistische Auswertungen, selbst wenn diese anonymisiert erfolgen und Sie die einzelnen IP-Adressen nicht einsehen können.

Hinweis: Nutzen SIe Cookies?

Dann müssen Sie zusätzlich zur Darstellung in der Datenschutzerklärung direkt ein Banner auf der ersten besuchten Seite einblenden, dass Sie Cookies verwenden. Dabei müssen Sie dem Besucher eine zweite Einwilligungs- oder Widerspruchsmöglichkeit anbieten.

Weitergabe von Daten an Dritte

Außerdem müssen Sie dem Nutzer mitteilen, ob und an welchen Stellen seine Daten an Dritte weitergegeben werden. Das ist zum Beispiel bei der Einbindung von Links auf soziale Netzwerke, Videoplattformen und andere externe Anbieter der Fall.

Aber auch die Verwendung von Google Analytics, bei der die Daten über Googles Server analysiert werden, muss angegeben werden. Schlüsseln Sie sehr genau die Bedingungen auf, wann und wie diese Datenweitergabe an wen erfolgt und wie sie kontrolliert wird – beispielsweise durch den Datenschutzbeauftragten.

Zweckangaben und Widerspruch

Je mehr Plug-Ins und Dialogmöglichkeiten Ihre Website bietet, desto länger wird Ihre Datenschutzerklärung. In allen Fällen müssen Sie einzeln darstellen, zu welchem Zweck und auf welcher Rechtsgrundlage Sie die Daten erheben und verarbeiten, wie Nutzer dieser Datenverarbeitung nachträglich widersprechen können und wie Sie dann die Datenvernichtung sicherstellen.

Jeder Verwendungszweck muss einzeln aufgeführt werden, damit der Nutzer ihm einzeln zustimmen oder auch einzeln widersprechen kann. Es ist also sinnvoll, möglichst datensparsam vorzugehen und nur die notwendigsten Daten zu erfassen.

Außerdem darf dem Nutzer kein Nachteil dadurch entstehen, wenn er der Datenverwendung widerspricht – etwa durch Aufkündigung des Vertrages (Koppelungsverbot).

Widerspruch, Berichtigung, Löschung

In der Datenschutzerklärung müssen Sie darlegen, dass jeder Nutzer jederzeit das Recht hat zu erfahren, welche Daten Sie über ihn gespeichert haben. Dazu kann er formlos eine Betroffenenanfrage an Ihr Unternehmen oder Ihren Datenschutzbeauftragten richten.

Diese Auskunft muss dem Nutzer kostenlos, vollständig und innerhalb eines Monats in einer datenschutzrechtlich unbedenklichen Form erteilt werden, beispielsweise unter Schwärzung aller anderen Angaben per Post.

Außerdem beschreiben Sie detailliert das Vorgehen in Ihrem Unternehmen, wenn Nutzer ihre Daten ändern oder löschen möchten beziehungsweise ihrer Einwilligung zu bestimmten Datenverarbeitungen nachträglich widersprechen.

Geben Sie an, innerhalb welches Zeitraums Sie den gewünschten Vorgang abschließen, und halten Sie diese Angabe auch ein. Benennen Sie an dieser Stelle den Datenpflegeverantwortlichen mit einer Kontaktmöglichkeit, so dass der Nutzer seinen Wunsch sofort übermitteln kann.

Diese Information über die Nutzerrechte sollten Sie in Ihrer Datenschutzerklärung grafisch auffällig hervorheben, etwa durch Farb- oder Fettschrift oder eine auffällige Hinterlegung.

Datensicherheit

Je sensibler die erhobenen personenbezogenen Daten sind, desto genauer müssen Sie auf die Speicherung, Verwendung, Weitergabe und Löschung eingehen. Besonders sensibel sind etwa Geburtsdatum, Kontoverbindung, Kreditkartennummer oder Gesundheitsangaben.

Der Nutzer soll klar erkennen können, wer Zugriff auf diese Daten hat und wie sie gegen Angriffe von außen geschützt werden.
Hierbei sollten Sie auch auf von Ihnen genutzte Sicherheitsverfahren wie Verschlüsselung vor dem Datenversand, sichere Datentransfers, Zwei-Faktor-Authentifizierung und die geschützte Verarbeitung in Ihrem Haus eingehen.

Falls Sie einen Datenschutzbeauftragten haben, gehört diese Angabe samt den Kontaktmöglichkeiten ebenfalls in die Datenschutzerklärung.

Was muss gemäß Datenschutz-Grundverordnung drin stehen?

Für Ihre Datenschutzerklärung gibt es einige einheitliche Pflichtelemente sowie Textteile, die sich auf bestimmte Erweiterungen und Interaktionsmöglichkeiten auf Ihrer Internetseite beziehen und nur zum Einsatz kommen, wenn Sie auch die technischen Möglichkeiten nutzen.

Basis-Elemente

Einheitliche Pflichtelemente sind beispielsweise Aussagen zu

  • Anfrage per E-Mail
  • Server-Log-Dateien und deren Speicherdauer
  • Serverbetreiber und Serverstandort
  • Hinweis zu Auskunft, Sperrung, Berichtigung und Löschung
  • Widerruf der Einwilligung zur Datenverarbeitung

Weitere Elemente

Hinzu kommen Informationen zu Tools und Vorgängen von externen Anbietern, die Sie verpflichtend angeben müssen, wenn Ihre Website sie tatsächlich enthält, beispielsweise

  • Cookies
  • Web-Statistik-Tools und Trackingwerkzeuge
  • Online-Werbeanbieter und -auswertungen
  • Einbindungen von Social Media
  • Partnerprogramme
  • Kommentarfunktionen
  • Kontaktformularen
  • Nutzeranmeldungen für Login-Bereiche
  • Externe Kartentools für die Anfahrtbeschreibung
  • Newslettertools
  • Gewinnspiele
  • Typekits
  • Bewerbungstools
  • Bezahlmöglichkeiten über Drittanbieter (Paypal etc.)
  • Verschlüsselungen der Website und/oder der Zahlvorgänge
  • Nutzung eingebundener Plugins von XING, Twitter etc.
  • Nutzung von Google-Tools (Analytics, Fonts etc.)
  • Links auf Audio- und Videoplattformen

sowie der Hinweis auf Ihren Datenschutzbeauftragten, wenn Ihr Unternehmen einen solchen bestellt hat.

Wichtig ist bei der Datenweitergabe an Dritte, auch jeweils deren Sitz und den Standort des betreffenden Servers zu benennen, an den die Daten überspielt werden. Diese Information dient dazu, das auf den Datenschutz anzuwendende Recht des jeweiligen Landes klarzustellen.

Widerspruchsmöglichkeiten

Es kann sinnvoll sein, in der Datenschutzerklärungsseite eine Opt-Out-Funktion einzubinden, mit der die Nutzer der Datenerhebung widersprechen können. Sprechen Sie mit Ihrem Datenschutzbeauftragten und den Webseitenprogrammierern darüber, ob dies für Ihre Website technisch möglich ist.

Zudem können Sie hier eine Beschreibung einbinden, wie der Nutzer den Einsatz von Cookies in seinem Browser ausschalten kann.
Falls kein Opt-Out-Button eingebunden werden kann, bieten Sie eine Möglichkeit an, bei der der Nutzer seinen Widerspruch anmelden kann – beispielsweise Namen, Telefonnummer und E-Mail-Adresse des Datenschutzbeauftragten.

Wo muss die Privacy Policy eingebunden werden?

Die Datenschutzerklärung muss jederzeit mit einem Klick erreichbar sein und gehört daher ins Hauptmenü Ihrer Website. Der Menüpunkt muss ausdrücklich mit dem Wort „Datenschutz“ oder „Datenschutzerklärung“ benannt sein.

Die Datenschutzerklärung ist ein eigenes Pflichtelement für die Website, das nicht mit den anderen Pflichtelementen der Internetseite, etwa dem Impressum oder den AGB, kombiniert werden darf.

Muss der Nutzer und Website-Besucher bestätigen?

Die Datenschutzerklärung ist einseitig, das heißt Sie als Websitebetreiber geben sie ab und der Kunde kann sie zur Kenntnis nehmen. Er kann sich auch darauf berufen, wenn er beispielsweise der Datenverarbeitung nachträglich widerspricht.

Der Kunde braucht die Kenntnisnahme der Datenschutzerklärung jedoch nicht zu bestätigen, auch nicht, wenn er eine Bestellung vornimmt. Es genügt, wenn er zum Abschluss der Bestellung darauf hingewiesen wird, dass Ihre Datenschutzerklärung gilt und wo sie zu finden ist – am besten mit einem Link.

Sie können sich die Kenntnisnahme zwar bestätigen lassen, die Erklärung wird aber kein Vertragsbestandteil und muss nicht „unterschrieben“ oder per Checkbox quittiert werden.

Hinweis: Formulieren Sie auf keinen Fall eine gemeinsame Annahme von Datenschutzerklärung und AGB. Wenn Sie beides koppeln, riskieren Sie, dass eine Änderung in der Datenschutzerklärung den gesamten Geschäftsvorgang infrage stellt.

In welcher Sprache soll ich die Erklärung verfassen?

Ist Ihre Website ausschließlich in deutscher Sprache verfügbar und liefern Sie keine Waren in Ausland, genügt in der Regel eine Datenschutzerklärung auf Deutsch.

Bieten Sie eine englische Version der Website an, haben Sie eine international erreichbare Servicetelefonnummer und liefern Sie auch ins Ausland, sollten Sie die Datenschutzerklärung mindestens in englischer Sprache zusätzlich veröffentlichen.

Je nach Geschäftsregion können Sie auch noch weitere Sprachversionen anbieten, um Ihren ausländischen Kunden einen besseren Service und mehr Transparenz zu bieten.

Was passiert, wenn ich keine, eine veraltete oder fehlerhafte DSE habe?

Die Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz (BDSG-neu) sehen wettbewerbsrechtliche Abmahnungen und sehr hohe Bußgeldzahlungen von mehreren Millionen Euro vor, wenn Sie die Bestimmungen nicht einhalten.

Data protection declaration according to GDPR: Datenschutzerklärung auf Englisch

We are very pleased that you are interested in our website – and thus in our company. The protection of your private rights and freedoms is important to us; we only use your data for the purposes intended. Since it is important to us that you know at all times to what extent we collect, use and, if necessary, pass your data onto third parties, we will subsequently inform you in detail about the processing of your personal data (collected via our website). Sie benötigen eine Datenschutzerklärung auf Englisch, Französisch, Spanisch etc.? Sprechen Sie uns.

Muss ich den Inhalt regelmäßig überarbeiten?

Die Datenschutzerklärung muss jederzeit alle auf Ihrer Website enthaltenen Elemente und die zugehörigen Datenschutzmaßnahmen aufführen. Die sich beständig wandelnden technischen Voraussetzungen, Plug-Ins und eingebundenen Elemente erfordern es, die Datenschutzerklärung bei jeder Änderung umgehend anzupassen.

Sofern Sie also ein neues Plugin, eine neue Funktion zur Interaktion, neue Tools oder Plattformen einbinden, müssen Sie Ihre Datenschutzerklärung sofort dementsprechend überarbeiten.

Datenschutzerklärung per Generator: eine gute Idee?

Datenschutzerklaerung Generator? Oder besser mit einem Muster, einer Vorlage arbeiten?

Datenschutzerklärung: Was wir für Sie tun können

Die Datenschutzerklärung auf Ihrer Website ist mehr als eine Pflichtangabe. Mit der Datenschutzerklärung setzen Sie ein Statement in puncto Umgang mit personenbezogenen Daten; eine Aussage, die jederzeit eingesehen und auf Richtigkeit geprüft werden kann – von Kunden, Interessenten, Mitbewerber und Aufsichtsbehörden. Beispiele:

  • Sind alle Pflichtangaben im Text Ihrer Datenschutzerklärung berücksichtigt?
  • Bieten Sie die ggf. erforderlichen Opt-out Möglichkeiten (Tracking-Technologien) an?
  • Sind die Rechtsgrundlagen (DSGVO) für die Verarbeitung personenbezogener Daten aufgeführt?

Genügend gute Gründe, diesem Thema die gebührende Aufmerksamkeit zukommen zu lassen!

Unser Angebot:

  • Wir prüfen die formalen Anforderungen an Ihre Webseite;
  • Wir analysieren ihrem Internetauftritt hinsichtlich der rechtssicheren Einbindung von Social Media, Like Buttons, Facebook, Instagram, Twitter etc.;
  • Wir prüfen ob Sie Tracking Tools wie Google Analytics korrekt eingebunden haben.

Kurz: Wir erstellen für Sie eine DSGVO-konforme Datenschutzerklärung, die genau das abbildet, was auf Ihrer Website an Datenverarbeitung stattfindet.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download