Das Wichtigste zur Datenschutzerklärung in Kürze
- Nahezu jede Website benötigt heutzutage eine Datenschutzerklärung.
- Der Link zur Datenschutzerklärung muss von jeder Seite der Website aus erreichbar sein.
- Betreiben Sie eine gewerbliche Website, stellt eine fehlende oder mangelhafte Datenschutzerklärung einen Wettbewerbsverstoß dar, welcher abgemahnt werden kann.
- Datenschutzerklärungen sind modular aufgebaut. Je nachdem, welche Funktionen Ihre Website aufweist, variiert der Wortlaut der Erklärung.
Mehr zum Thema: Spezifische Ratgeber zur Datenschutzerklärung
Für wen ist eine Datenschutzerklärung im Internet Pflicht?
Inhaltsverzeichnis
Kaum eine gesetzliche Vorgabe bringt Websiteinhaber so ins Schwitzen wie die Pflicht, eine aktuelle Datenschutzerklärung auf Websites unterzubringen. Insbesondere Privatpersonen sind von den Anforderungen meist überfordert.
Dieser Ratgeber klärt darüber auf, wessen Website eine Datenschutzerklärung laut Gesetz benötigt, wie Sie eine rechtssichere Datenschutzerklärung erstellen und was droht, wenn Ihre Seite keine Erklärung aufweist. Muster zur einfachen Zusammenstellung Ihrer persönlichen Datenschutzerklärung finden Sie im Folgenden ebenfalls.
Die Datenschutzgrundverordnung (DSGVO) regelt, welchen Bestimmungen Inhalte im Internet genügen müssen. Art. 12 DSGVO bestimmt:
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. […]
Angesichts der alten Regelungen gemäß Telemediengesetz lehnten sich einige Websitebetreiber in der Annahme, keine Datenschutzerklärung zu benötigen, entspannt zurück. Dabei stützten sie sich jedoch auf zwei Fehlinterpretationen:
- sie sahen sich nicht als Diensteanbieter
- sie gingen davon aus, dass ihre private Website keine personenbezogenen Daten erhebt
Der Begriff des Diensteanbieters , der in der Tat irreführend erschien, wurde in der DSGVO vom „Verantwortlichen“ ersetzt. Dies erfasst nun eindeutiger sämtliche Personen, welche Telemedien zur Nutzung zur Verfügung stellen. Eine Unterscheidung zwischen gewerblichen und privaten Anbietern wird nicht gemacht. Das bedeutet, dass der Betreiber eines privaten Blogs genauso als Verantwortlicher gilt wie der Betreiber eines Online-Shops.
Als personenbezogene Daten gelten zum einen jene Informationen, welche zu einer bestimmten Person zurückführen können. Dazu gehört neben Namen und Adresse beispielsweise auch die IP-Adresse. Als solche definiert die DSGVO in Art. 4 ebenfalls alle Angaben, welche die persönlichen oder sachlichen Verhältnisse einer natürlichen Person betreffen. Besondere Kategorien personenbezogener Daten sind in Art. 9 der DSGVO erfasst (Gesundheitsdaten, Religuionszugehörigkeit usf.).
Da jeder Website-Hoster – also jenes Unternehmen, welches den Webspace für die Website zur Verfügung stellt – und/oder Betreiber ein Mindestmaß an Informationen über seine Besucher sammelt – etwa deren IP-Adresse, benutzten Browser und Verweildauer – erhebt zwangsläufig jeder Websiteinhaber personenbezogene Daten.
Anforderungen an eine Datenschutzerklärung: Sichtbarkeit, Inhalte und Form
Grundsätzlich gelten gemäß Bundesdatenschutzgesetz und Telemediengesetz bestimmte Prinzipien, welche in Sachen Datenschutz eingehalten werden müssen.
Die Datenschutzerklärung soll Ihre Nutzer darüber aufklären, welche Daten Sie als Websitebetreiber erheben und speichern, zu welchem Zweck die Daten erhoben werden und wie mit ihnen umgegangen wird.
Das bedeutet konkret, dass jede einzelne Handlung eines Nutzers, welche zur Datenerhebung und -speicherung führt, explizit in der Erklärung erwähnt werden muss. Je mehr Plugins, Erweiterungen und Interaktionsmöglichkeiten Sie anbieten und nutzen, desto länger und detaillierter muss Ihre Datenschutzerklärung ausfallen.
Spezifische Ratgeber zur Sprache der Datenschutzerklärung
Achtung: In der Datenschutzerklärung werden keine Nutzungsbedingungen festgehalten
Die Datenschutzerklärung einer Website soll die Nutzer darüber aufklären, wie Sie als Webmaster mit ihren persönlichen Daten umgehen. Nutzungsbedingungen legen hingegen für die Websitebesucher Grundregeln fest, wie sie sich auf der Seite zu verhalten haben.
Die Datenschutzerklärung im Impressum unterbringen?
Gemäß TMG muss ein Nutzer jederzeit auf die Datenschutzerklärung zugreifen können. Das bedeutet, dass ein einzelner Punkt, welcher von jeder Unterseite aus erreichbar ist, für die Datenschutzerklärung eingerichtet werden muss.
Es ist daher nicht erlaubt, die Datenschutzerklärung lediglich unter dem Punkt „Impressum“ zu verlinken. Möchten Sie beide Punkte zusammenfassen, müssen der Punkt zumindest „Impressum und Datenschutz“ heißen und die einzelnen Abschnitte klar voneinander getrennt werden.
Muster zum Download: Datenschutzerklärung als Baukastensystem
Im folgenden Abschnitt finden Sie Muster-Teile für eine Datenschutzerklärung.
Je nachdem, welche Punkte auf Ihr Angebot zutreffen, können Sie Ihre Datenschutzerklärung so kurz wie möglich gestalten, indem Sie lediglich jene Textpassagen nutzen, welche Sie benötigen.
Spezifische Informationen zur Datenschutzerklärung für bestimmte Dienste
Standard-Datenschutzerklärung: Die Basis einer jeden Erklärung
Egal, welchen spezifischen Besonderheiten Ihre Datenschutzerklärung genügen muss – ein allgemeiner Teil gehört immer hinein. Dieser kann wie folgt formuliert werden:
Grundlegendes
Diese Datenschutzerklärung soll die Nutzer dieser Website über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten durch den Websitebetreiber [Ihre Kontaktdaten einfügen] informieren.
Der Websitebetreiber nimmt Ihren Datenschutz sehr ernst und behandelt Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Vorschriften. Da durch neue Technologien und die ständige Weiterentwicklung dieser Webseite Änderungen an dieser Datenschutzerklärung vorgenommen werden können, empfehlen wir Ihnen sich die Datenschutzerklärung in regelmäßigen Abständen wieder durchzulesen.
Definitionen der verwendeten Begriffe (z.B. “personenbezogene Daten” oder “Verarbeitung”) finden Sie in Art. 4 DSGVO.
Server-Logfiles: Nahezu jeder Server greift Informationen ab
Nahezu alle Server-Hoster erheben mittels Logfiles Daten über die Nutzer einer Website. Hosten Sie Ihre Seite nicht selbst, sollten Sie davon ausgehen, dass Server-Logfiles erstellt werden.
In diesem Fall sollte folgende Formulierung in der Datenschutzerklärung enthalten sein:
Zugriffsdaten
Wir, der Websitebetreiber bzw. Seitenprovider, erheben aufgrund unseres berechtigten Interesses (s. Art. 6 Abs. 1 lit. f. DSGVO) Daten über Zugriffe auf die Website und speichern diese als „Server-Logfiles“ auf dem Server der Website ab. Folgende Daten werden so protokolliert:
- Besuchte Website
- Uhrzeit zum Zeitpunkt des Zugriffes
- Menge der gesendeten Daten in Byte
- Quelle/Verweis, von welchem Sie auf die Seite gelangten
- Verwendeter Browser
- Verwendetes Betriebssystem
- Verwendete IP-Adresse
Die Server-Logfiles werden für maximal 7 Tage gespeichert und anschließend gelöscht. Die Speicherung der Daten erfolgt aus Sicherheitsgründen, um z. B. Missbrauchsfälle aufklären zu können. Müssen Daten aus Beweisgründen aufgehoben werden, sind sie solange von der Löschung ausgenommen bis der Vorfall endgültig geklärt ist.
Nutzung von Cookies
Heutzutage kommen die meisten Websites nicht ohne Cookies aus. Die kleinen Textdateien speichern Informationen über den Nutzer, welche unter Umständen die Websitebedienung erleichtern bzw. vereinfachen. So basiert beispielsweise der Warenkorb mancher Onlineshops auf der Nutzung von Cookies, welche sich zumindest „merken“ können, welche Waren der Kunde bereits darin abgelegt hat.
Nutzt Ihre Seite Cookies, muss die Datenschutzerklärung folgenden Passus enthalten:
Reichweitenmessung & Cookies
Diese Website verwendet Cookies zur pseudonymisierten Reichweitenmessung, die entweder von unserem Server oder dem Server Dritter an den Browser des Nutzers übertragen werden. Bei Cookies handelt es sich um kleine Dateien, welche auf Ihrem Endgerät gespeichert werden. Ihr Browser greift auf diese Dateien zu. Durch den Einsatz von Cookies erhöht sich die Benutzerfreundlichkeit und Sicherheit dieser Website.
Falls Sie nicht möchten, dass Cookies zur Reichweitenmessung auf Ihrem Endgerät gespeichert werden, können Sie dem Einsatz dieser Dateien hier widersprechen:
- Cookie-Deaktivierungsseite der Netzwerkwerbeinitiative: http://optout.networkadvertising.org/?c=1#!/
- Cookie-Deaktivierungsseite der US-amerikanischen Website: https://optout.aboutads.info/?lang=EN&c=2#!%2F
- Cookie-Deaktivierungsseite der europäischen Website: http://optout.networkadvertising.org/?c=1#!/
Gängige Browser bieten die Einstellungsoption, Cookies nicht zuzulassen. Hinweis: Es ist nicht gewährleistet, dass Sie auf alle Funktionen dieser Website ohne Einschränkungen zugreifen können, wenn Sie entsprechende Einstellungen vornehmen.
Können Nutzer personenbezogene Daten eingeben?
Können oder müssen die Besucher Ihrer Seite personenbezogene Daten eingeben – etwa, um Kommentare zu schreiben, ein Kontaktformular zu nutzen oder Ihr Angebot ganz oder teilweise zu abonnieren – müssen Sie mit einem entsprechenden Passus in der Datenschutzerklärung auf Ihren Umgang mit diesen Daten hinweisen.
Bei fast allen Websiten werden personenbezogene Daten erhoben – etwa die IP-Adresse der Besucher.
Erfassung und Verarbeitung personenbezogener Daten
Der Websitebetreiber erhebt, nutzt und gibt Ihre personenbezogenen Daten nur dann weiter, wenn dies im gesetzlichen Rahmen erlaubt ist oder Sie in die Datenerhebung einwilligen.
Als personenbezogene Daten gelten sämtliche Informationen, welche dazu dienen, Ihre Person zu bestimmen und welche zu Ihnen zurückverfolgt werden können – also beispielsweise Ihr Name, Ihre E-Mail-Adresse und Telefonnummer.
Diese Website können Sie auch besuchen, ohne Angaben zu Ihrer Person zu machen. Zur Verbesserung unseres Online-Angebotes speichern wir jedoch (ohne Personenbezug) Ihre Zugriffsdaten auf diese Website. Zu diesen Zugriffsdaten gehören z. B. die von Ihnen angeforderte Datei oder der Name Ihres Internet-Providers. Durch die Anonymisierung der Daten sind Rückschlüsse auf Ihre Person nicht möglich.
Hinweis: An dieser Stelle sollten Sie zusätzlich angeben, welche, wie und warum Sie als Webseitenbetreiber personenbezogene Daten verarbeiten. Beispiele:
- Welche? – Wir verarbeiten personenbezogene Daten wie Vorname, Nachname, IP-Adresse, E-Mail-Adresse, Wohnort, Postleitzahl und Inhaltsangaben aus dem Kontaktformular.
- Wie? – Wir verarbeiten personenbezogene Daten nur nach ausdrücklicher Erlaubnis der betreffenden Nutzer und unter Einhaltung der geltenden Datenschutzbestimmungen.
- Warum? – Die Verarbeitung der personenbezogenen Daten erfolgt aufgrund unseres berechtigten Interesses zur Erfüllung unserer vertraglich vereinbarten Leistungen und zur Optimierung unseres Online-Angebotes.
Können Websitebesucher Sie kontaktieren?
Nahezu jede deutsche Website muss aufgrund der hierzulande geltenden Impressumspflicht die Möglichkeit bieten, Kontakt mit dem Website-Verantwortlichen aufzunehmen. Dabei übermitteln Nutzer automatisch weitere Daten über sich selbst – etwa ihre Namen und E-Mail-Adresse. Es obliegt Ihnen als Betreiber darauf hinzuweisen, wie mit diesen personenbezogenen Daten umgegangen wird.
Die Kommentarfunktion muss bedacht werden
Anders als analoge Angebote leben viele Onlineplattformen von den Interaktionen ihrer Nutzer. Sei es zur Gründung einer Diskussions-Community oder zur Generierung von Bewertungen für verkaufte Produkte: Eine Kommentarfunktion ist auf nahezu jeder Website vorhanden.
In den meisten Fällen müssen sich Seitenbesucher anmelden oder gewisse Daten eingeben, um die Funktion nutzen zu können.
Zumindest die IP-Adresse des Kommentarverfassers sollte gespeichert werden. So können Sie als Betreiber dessen Identität nachvollziehen, sollte der Inhalt des Kommentars gegen geltendes Recht verstoßen.
Umgang mit Kommentaren und Beiträgen
Hinterlassen Sie auf dieser Website einen Beitrag oder Kommentar, wird Ihre IP-Adresse gespeichert. Dies erfolgt aufgrund unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO und dient der Sicherheit von uns als Websitebetreiber: Denn sollte Ihr Kommentar gegen geltendes Recht verstoßen, können wir dafür belangt werden, weshalb wir ein Interesse an der Identität des Kommentar- bzw. Beitragsautors haben.
Nutzung von Google Analytics
Wie viele Nutzer kommen auf Ihre Seite? Von welchen Geräten aus? Wie lange bleiben sie und welcher Logik folgen sie? Websitebetreiber interessieren sich oftmals sehr für das Verhalten ihrer Seitenbesucher. Tools wie Google Analytics ermöglichen ihnen sehr tiefe Einblicke.
Da die gesammelten Informationen sehr weitreichend sind, müssen Sie die Nutzung des Tools in Ihrer Datenschutzerklärung angeben. Darin muss die Möglichkeit eines „Opt-Out“, also der Abschaltung der Datenabfrage erläutert werden.
Google Analytics
Diese Website nutzt aufgrund unserer berechtigten Interessen zur Optimierung und Analyse unseres Online-Angebots im Sinne des Art. 6 Abs. 1 lit. f. DSGVO den Dienst „Google Analytics“, welcher von der Google Inc. (1600 Amphitheatre Parkway Mountain View, CA 94043, USA) angeboten wird. Der Dienst (Google Analytics) verwendet „Cookies“ – Textdateien, welche auf Ihrem Endgerät gespeichert werden. Die durch die Cookies gesammelten Informationen werden im Regelfall an einen Google-Server in den USA gesandt und dort gespeichert.
Google LLC hält das europäische Datenschutzrecht ein und ist unter dem Privacy-Shield-Abkommen zertifiziert: https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active
Auf dieser Website greift die IP-Anonymisierung. Die IP-Adresse der Nutzer wird innerhalb der Mitgliedsstaaten der EU und des Europäischen Wirtschaftsraum und in den anderen Vertragsstaaten des Abkommens gekürzt. Nur in Einzelfällen wird die IP-Adresse zunächst ungekürzt in die USA an einen Server von Google übertragen und dort gekürzt. Durch diese Kürzung entfällt der Personenbezug Ihrer IP-Adresse. Die vom Browser übermittelte IP-Adresse des Nutzers wird nicht mit anderen von Google gespeicherten Daten kombiniert.
Im Rahmen der Vereinbarung zur Auftragsdatenvereinbarung, welche wir als Websitebetreiber mit der Google Inc. geschlossen haben, erstellt diese mithilfe der gesammelten Informationen eine Auswertung der Websitenutzung und der Websiteaktivität und erbringt mit der Internetnutzung verbundene Dienstleistungen.
Die von Google in unserem Auftrag erhobenen Daten werden genutzt, um die Nutzung unseres Online-Angebots durch die einzelnen Nutzer auswerten zu können, z. B. um Reports über die Aktivität auf der Website zu erstellen, um unser Online-Angebot zu verbessern.
Sie haben die Möglichkeit, die Speicherung der Cookies auf Ihrem Gerät zu verhindern, indem Sie in Ihrem Browser entsprechende Einstellungen vornehmen. Es ist nicht gewährleistet, dass Sie auf alle Funktionen dieser Website ohne Einschränkungen zugreifen können, wenn Ihr Browser keine Cookies zulässt.
Weiterhin können Sie durch ein Browser-Plugin verhindern, dass die durch Cookies gesammelten Informationen (inklusive Ihrer IP-Adresse) an die Google Inc. gesendet und von der Google Inc. genutzt werden. Folgender Link führt Sie zu dem entsprechenden Plugin: https://tools.google.com/dlpage/gaoptout?hl=de
Alternativ verhindern Sie mit einem Klick auf diesen Link (WICHTIG: Opt-Out-Link einfügen), dass Google Analytics innerhalb dieser Website Daten über Sie erfasst. Mit dem Klick auf obigen Link laden Sie ein „Opt-Out-Cookie“ herunter. Ihr Browser muss die Speicherung von Cookies also hierzu grundsätzlich erlauben. Löschen Sie Ihre Cookies regelmäßig, ist ein erneuter Klick auf den Link bei jedem Besuch dieser Website vonnöten.
Hier finden Sie weitere Informationen zur Datennutzung durch die Google Inc.:
- https://policies.google.com/technologies/partner-sites?hl=de (Daten, die von Google-Partnern erhoben werden)
- https://adssettings.google.de/authenticated (Einstellungen über Werbung, die Ihnen angezeigt wird)
- https://policies.google.com/technologies/ads?hl=de (Verwendung von Cookies in Anzeigen)
Social-Media-Plugins: Datenkraken unter dem Deckmantel der sozialen Interaktion?
Viele können sich ein Leben ohne soziale Netzwerke heutzutage nicht mehr vorstellen. Websitebetreiber richten daher oftmals die Möglichkeit für Nutzer ein, die Website oder einzelne Beiträge via Facebook, Twitter und Co. zu teilen und zu bewerten.
Die Einbindungen erfolgen meist über entsprechende Plugins und stellen sich aus datenschutzrechtlicher Sicht kompliziert dar: Sie stellen nämlich eine direkte Datenverbindung zwischen dem Browser Ihres Seitenbesuchers und den Servern der Anbieter der sozialen Netzwerke her.
Nutzen Sie solche Plugins, muss folgender Inhalt in Ihrer Datenschutzerklärung enthalten sein (Muster für die Nutzung von Facebook-, Google-Plus- und Twitter-Schaltflächen):
Nutzung von Social-Media-Plugins von Facebook
Aufgrund unseres berechtigten Interesses an der Analyse, Optimierung und dem Betrieb unseres Online-Angebotes (im Sinne des Art. 6 Abs. 1 lit. f. DSGVO), verwendet diese Website das Facebook-Social-Plugin, welches von der Facebook Inc. (1 Hacker Way, Menlo Park, California 94025, USA) betrieben wird. Erkennbar sind die Einbindungen an dem Facebook-Logo bzw. an den Begriffen „Like“, „Gefällt mir“, „Teilen“ in den Farben Facebooks (Blau und Weiß). Informationen zu allen Facebook-Plugins finden Sie über den folgenden Link: https://developers.facebook.com/docs/plugins/
Facebook Inc. hält das europäische Datenschutzrecht ein und ist unter dem Privacy-Shield-Abkommen zertifiziert: https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC&status=Active
Das Plugin stellt eine direkte Verbindung zwischen Ihrem Browser und den Facebook-Servern her. Der Websitebetreiber hat keinerlei Einfluss auf die Natur und den Umfang der Daten, welche das Plugin an die Server der Facebook Inc. übermittelt. Informationen dazu finden Sie hier: https://www.facebook.com/help/186325668085084
Das Plugin informiert die Facebook Inc. darüber, dass Sie als Nutzer diese Website besucht haben. Es besteht hierbei die Möglichkeit, dass Ihre IP-Adresse gespeichert wird. Sind Sie während des Besuchs auf dieser Website in Ihrem Facebook-Konto eingeloggt, werden die genannten Informationen mit diesem verknüpft.
Nutzen Sie die Funktionen des Plugins – etwa indem Sie einen Beitrag teilen oder „liken“ –, werden die entsprechenden Informationen ebenfalls an die Facebook Inc. übermittelt.
Möchten Sie verhindern, dass die Facebook. Inc. diese Daten mit Ihrem Facebook-Konto verknüpft, loggen Sie sich bitte vor dem Besuch dieser Website bei Facebook aus und löschen Sie die gespeicherten Cookies. Über Ihr Facebook-Profil können Sie weitere Einstellungen zur Datenverarbeitung für Werbezwecke tätigen oder der Nutzung Ihrer Daten für Werbezwecke widersprechen. Zu den Einstellungen gelangen Sie hier:
- Profileinstellungen bei Facebook: https://www.facebook.com/adpreferences/advertisers/?entry_product=ad_settings_screen
- Cookie-Deaktivierungsseite der US-amerikanischen Website: https://optout.aboutads.info/?lang=EN&c=2#!%2F
- Cookie-Deaktivierungsseite der europäischen Website: http://optout.networkadvertising.org/?c=1#!/
Welche Daten, zu welchem Zweck und in welchem Umfang Facebook Daten erhebt, nutzt und verarbeitet und welche Rechte sowie Einstellungsmöglichkeiten Sie zum Schutz Ihrer Privatsphäre haben, können Sie in den Datenschutzrichtlinien von Facebook nachlesen. Diese finden Sie hier: https://www.facebook.com/about/privacy/
Bieten Sie Ihren Nutzern einen Newsletter an?
Möchten Sie Ihre Besucher stets auf dem aktuellen Stand halten? Die Einrichtung eines Newsletters bietet sich hierzu an. Dabei müssen die Betroffenen allerdings ihre E-Mail-Adresse hinterlegen, damit sie der Dienst auch erreicht.
Sie müssen daher den Newsletter in der Datenschutzerklärung behandeln. Dieses Muster können Sie hierfür verwenden:
Newsletter-Abonnement
Der Websitebetreiber bietet Ihnen einen Newsletter an, in welchem er Sie über aktuelle Geschehnisse und Angebote informiert. Möchten Sie den Newsletter abonnieren, müssen Sie eine valide E-Mail-Adresse angeben. Wenn Sie den Newsletter abonnieren, erklären Sie sich mit dem Newsletter-Empfang und den erläuterten Verfahren einverstanden.
Der Newsletterversand erfolgt durch den Versanddienstleister XY, einer Versandplattform des Anbieters ABC, Beispielstraße 5, 12345 Beispielstadt, Deutschland. Informationen über die Datenschutzbestimmungen des Versanddienstleisters erhalten Sie unter: beispiel-XY.de/datenschutz.
Widerruf und Kündigung: Ihre Einwilligung zum Erhalt des Newsletter können Sie jederzeit widerrufen und somit das Newsletter-Abonnement kündigen. Nach Ihrer Kündigung erfolgt die Löschung Ihre personenbezogenen Daten. Ihre Einwilligung in den Newsletterversand erlischt gleichzeitig. Am Ende jedes Newsletters finden Sie den Link zur Kündigung.
Zusätzlich sollten Sie in diesem Teil der Datenschutzerklärung noch Informationen über die Inhalte Ihres Newsletters geben, z. B. ob im Newsletter auch Werbung versandt wird.
Des Weiteren sollten Sie angeben, wie die Daten beim Versanddienstleister gespeichert werden (pseudonymisiert oder nicht), für welche Zwecke die Daten erhoben werden, ob Daten an Dritte weitergegeben werden, ob und wie statistische Erhebungen oder Analysen durchgeführt werden etc.
Informieren Sie sich am besten direkt bei Ihrem Versanddienstleister. Ggf. müssen Sie mit ihm auch einen Vertrag zur Auftragsdatenverarbeitung abschließen.
Schlussbestimmungen: Nur mit diesen Hinweisen ist eine Datenschutzerklärung komplett
Schließlich müssen Ihre Nutzer umfassend über ihre Rechte informiert werden. Folgende Schlussbestimmung muss daher in Ihrer Datenschutzerklärung enthalten sein:
Rechte des Nutzers
Sie haben als Nutzer das Recht, auf Antrag eine kostenlose Auskunft darüber zu erhalten, welche personenbezogenen Daten über Sie gespeichert wurden. Sie haben außerdem das Recht auf Berichtigung falscher Daten und auf die Verarbeitungseinschränkung oder Löschung Ihrer personenbezogenen Daten. Falls zutreffend, können Sie auch Ihr Recht auf Datenportabilität geltend machen. Sollten Sie annehmen, dass Ihre Daten unrechtmäßig verarbeitet wurden, können Sie eine Beschwerde bei der zuständigen Aufsichtsbehörde einreichen.
Löschung von Daten
Sofern Ihr Wunsch nicht mit einer gesetzlichen Pflicht zur Aufbewahrung von Daten (z. B. Vorratsdatenspeicherung) kollidiert, haben Sie ein Anrecht auf Löschung Ihrer Daten. Von uns gespeicherte Daten werden, sollten sie für ihre Zweckbestimmung nicht mehr vonnöten sein und es keine gesetzlichen Aufbewahrungsfristen geben, gelöscht. Falls eine Löschung nicht durchgeführt werden kann, da die Daten für zulässige gesetzliche Zwecke erforderlich sind, erfolgt eine Einschränkung der Datenverarbeitung. In diesem Fall werden die Daten gesperrt und nicht für andere Zwecke verarbeitet.
Widerspruchsrecht
Nutzer dieser Webseite können von ihrem Widerspruchsrecht Gebrauch machen und der Verarbeitung ihrer personenbezogenen Daten zu jeder Zeit widersprechen.
Wenn Sie eine Berichtigung, Sperrung, Löschung oder Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten wünschen oder Fragen bzgl. der Erhebung, Verarbeitung oder Verwendung Ihrer personenbezogenen Daten haben oder erteilte Einwilligungen widerrufen möchten, wenden Sie sich bitte an folgende E-Mail-Adresse: [E-Mail-Adresse einfügen]
Je nachdem welche personenbezogenen Daten, Cookies, Plugins etc. Sie auf Ihrer Webseite verwenden, müssen Sie in Ihrer Datenschutzerklärung weitere Informationen aufführen.
Dazu gehören beispielsweise Informationen über (Liste ist nicht vollständig):
- die Weitergabe von Daten an Dritte und Drittanbieter
- Einbindungen von Diensten und Inhalten Dritter (z. B. Google-Fonts oder YouTube-Videos)
- Erbringung vertraglicher Leistungen
- Kontaktaufnahme über das Kontaktformular
- Verwendung von Session-Cookies
- Einsatz von datenverarbeitenden Anti-Spam-Plugins
- Nutzung des Google Remarketing-Tags
Verwendung von Google+ oder Twitter-Schaltflächen
Umfassende Datenschutzerklärung: Vorlage zum Download
Hier können Sie die komplette Datenschutzerklärung mit allen oben genannten Punkten gebündelt downloaden:
Download als PDF Download als .doc
Vorsicht Abmahnung! Eine Datenschutzerklärung ist oft Pflicht
Zwar hält das TMG fest, dass eine Website mit einer Datenschutzerklärung versehen sein muss, dennoch ließ sich ein Verstoß lange Zeit nur schwer verfolgen. Mehrere Gerichtsurteile bestätigten jedoch nach und nach, dass zumindest Betreiber gewerblicher Websites für eine fehlende oder mangelhafte Datenschutzerklärung von Konkurrenten belangt werden können.
Seit Inkrafttreten des „Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ im Jahre 2016 können nicht nur Mitwerber Abmahnungen versenden, sondern ebenfalls Verbraucherschutz- und Wettbewerbsverbände. Das bedeutet, dass auch private Websitebetreiber seit 2016 abgemahnt werden können.
In der Regel werden diese Abmahnungen nicht mit Schadensersatzforderungen gekoppelt – die Bezifferung eines Schadens ist schwierig. Dennoch kommen Sie als Abgemahnter nicht kostenfrei davon: Ihnen werden die Kosten der Abmahnung in Rechnung gestellt. Diese belaufen sich in der Regel auf ca. 100 bis 200 Euro. Lassen Sie es auf eine Gerichtsverhandlung ankommen, können sich die Kosten jedoch radikal erhöhen.
Darüber hinaus müssen Sie eine Unterlassungserklärung abgeben, in welcher Sie sich dazu verpflichten, in Sachen Datenschutzerklärung keine Fehler mehr zu machen. Meist beinhaltet eine solche Unterlassungserklärung eine Vertragsstrafe von bis zu 2.500 Euro. Handeln Sie entgegen der eingegangenen Verpflichtung, müssen Sie diesen Betrag zahlen.
Dr. M. meint
7. Februar 2023 at 10:33
Ich suche nach einer Muster-Erklärung, mit der Vereinsmitglieder gebeten werden, ihre e-mail-Adresse zur Kommunikation zwischen Vorstand und ihnen nur vereinsgebunden mitzuteilen. Verwendung dann ausschließlich in bcc., so dass das Mitglieder-/mail-Verzeichnis anonym bleibt.
Nina meint
8. April 2022 at 12:26
Hallo liebes Datenschutz-Team,
vielen, vielen Dank für diesen Beitrag.
Es ist doch etwas leichter, das ganze zusammenzustellen, wenn man wenigstens ein bisschen versteht, was da gesagt wird. Bei einem DSE-Konverter wurden zig Dinge abgefragt, von denen ich nahezu jedes einzelne nachschauen musste, was das überhaupt ist. Und dann wusste ich oftmals (so es denn kein Plug-In war) trotzdem nicht, ob meine Website es benutzt oder nicht.
Alles nicht so einfach.
Zwei Anmerkungen hab ich aber.
Zum einen, beim Punkt Google Analytics steht:
„Im Rahmen der Vereinbarung zur Auftragsdatenvereinbarung, …“
Müsste es nicht Auftragsdatenverarbeitung heißen?
Das andere, weitere oben in den Kommentaren habt ihr geantwortet, man darf „gerne zur Orientierung nutzen, nicht aber unangepasst und individualisiert“ verwenden.
Ich habe mir alles genau durchgelesen und die Anrede und meine Person (also ich, statt Website-Betreiber) geändert. Und was nicht auf mich bzw. meine Seite zutraf (ist „nur“ eine Autorenseite ohne Shop) hab ich gestrichen.
Fällt das schon unter angepasst und individualisiert? Darf das so?
Oder muss ich jeden Satz umformulieren (was mich tatsächlich doch überfordern würde ^^‘)
Über eine Antwort würde ich mich sehr freuen.
Viele Grüße
Nina
Joachim meint
28. April 2021 at 12:39
Einen schönen guten Tag, ich möchte mich für den Inhalt der Webseite zum Thema Datenschutz herzlich bedanken. Übersichtlich gehalten, leicht verständlich geschrieben und umfassend zusammengestellt. Ich sage einfach nur Danke!
Susanne meint
12. März 2021 at 11:27
Danke für diese übersichtlichen Informationen zum Datenschutz. Eine Frage bleibt für mich jedoch nach wie vor offen: Wenn ich eine rein private Website erstelle, die keinen kommerziellen Zwecken dient, sondern lediglich Infos über mich und meine berufliche Laufbahn enthält (es werden auch keine Dienste oder Dienstleistungen angeboten)- benötige ich für diese Website eine Datenschutzerklärung oder nicht? Meine Website erstelle ich mithilfe eines Baukasten-Systems.
Matthias meint
14. August 2019 at 10:43
Danke für die wertvollen Inhalte. Meine Webseite soll dazu dienen dass Leute in Kontakt mit mir treten, telefonisch, oder per e.mail (Privatpersonen sowie Firmen), die Kontaktdaten sind im Impressum und auf der website. Wenn diese mir dann Daten übermitteln, z.B. e.mail /adresse, Telefon ect ist das ja nicht über die Erklärung im Internet abgedeckt. Meine andere DSErklärung haben diese Leute nicht, also ist das ja ein „erklärungsfreier“ Raum.
Deshalb habe ich auch diesen Bereich in meiner DS-Erklärung im web mit abgedeckt und ausführlich beschrieben (also die andere DSE mit eingebaut)
Jetzt die Frage:
Kann ich das machen, oder können mir dadurchh Probleme entstehen? Worauf wäre zu achten? Danke!
ncls. meint
12. Mai 2019 at 20:38
Ich arbeite gerade an meiner Seite und wollte Nutzern die Möglichkeit bereiten, ihre E-Mail-Adresse einzugeben, um eine Mail zu erhalten, sobald die Seite fertig ist. Dazu werden die E-Mail-Adressen in einer SQL-Datenbank gespeichert. Die Nutzer erhalten direkt nach der Registrierung eine Bestätungse-mail mit einem Link, mit der sie ihre E-Mail jederzeit aus der Datenbank entfernen können. Die Seite ist auf englisch und für jeden international zugänglich und benutzbar.
Was genau muss ich jetzt alles in der Datenschutzerklärung angeben und bei der Entwicklung meiner Seite beachten?
Sabine meint
13. Februar 2019 at 14:18
Hallo,
gelten die Anforderungen an den Datenschutz bei anonymen Umfragen mittels ausgedruckten Fragebögen, die weder Name, Adresse etc beinhalten? Ich bin Studentin und möchte 100 Einwohner meiner Gemeinde in Österreich befragen, ich werde nur Geschlecht, Alter und Einstellungen zu gewissen Themen erfragen. Ist in diesem Fall eine ausdrückliche Datenschutz-Zustimmung des Befragten nötig? Welche Informationen zum Datenschutz muss ich am Fragebogen anführen?
Vielen Dank!
Marek meint
8. August 2018 at 1:34
Hallo,
vielen Dank für die Übersicht. Der Informationsgehalt ist ja recht dicht gepackt.
Sie schreiben, dass Teile des Musters zur formulierung einer eigenen Datenschutzerklärung verwendet werden dürften. Was sind die Bedingungen für das Nutzungsrecht dieser Textbausteine? Dürfen größere und zusammenhänge Passagen wörtlich übernommen werden? Bestehen Sie auf eine (bestimmte Form der) Quellenangabe? Ist dies grundsätzlich kostenlos / mit Kosten verbunden?
Natürlich mit dem Wissen, dass Sie für die Formulierungen nicht haften und keine Gewähr übernehmen.
datenschutz.org meint
8. August 2018 at 16:51
Hallo Marek,
die Inhalte dieser Website unterliegen dem Urheberrecht und dürfen grundsätzlich nicht ohne Einverständnis des Urhebers kopiert werden. Sie können die hier bereitgestellte Datenschutzerklärung gerne zur Orientierung nutzen, nicht aber unangepasst und individualisiert übernehmen.
Die Redaktion von Datenschutz.org
datenschutz.org meint
1. Juni 2018 at 15:35
Hallo Ernst,
das Impressum erreichen Sie über den Link „Impressum“ am Fuß jeder Unterseite auf Datenschutz.org oder direkt hier: https://www.datenschutz.org/impressum/
Die Redaktion von Datenschutz.org
Joern meint
27. Mai 2018 at 14:26
Dankenswert finde ich, was Sie hier versuchen. Erklärungen dieser Form sind jedenfalls das, was bereits der Gesetzgeber liefern sollte – eine DSGVO von 88 Seiten (ganz abgesehen von den zugehörigen Papieren auf Bundes- und Landesebene) minutiös zu durchforsten und das Juristendeutsch auch noch gerichtsfest verstehen zu können ist eine Überforderung des Normalverbrauchers, der andererseits Dank neuer Techniken sein Stammtischgespräch auf die Welt ausdehnen kann. Dass man auf dieser Bühne seine Schritte überlegter tut, als es im Freundeskreis von einem abverlangt wird, ist naheliegend. Dass man sich um Datenschutz und Datensparsamkeit Gedanken macht, war (angesichts des verbreitet leichtsinnigen Umgangs mit den eigenen Daten offensichtlich) nicht für jeden selbstverständlich. Es ist gut, dass durch das allgemeine Torschlussgeraune der Fokus daraufgelegt ist, es ist gut, dass es gesetzliche Grundlage gibt, bestimmte Standards einzufordern.
Die große Frage und Angst ist nur, wie dieses Einfordern geschehen wird. Solange man massenhaften Abmahnungen nicht mit dem Instrument der Sammelklage entgegentreten kann, und vielleicht selbst dann, besteht ein erhebliches Risiko, bereits durch Flüchtigkeitsfehler ins finanzielle Abseits getrieben zu werden. Das kann nicht gewollt sein.
Für mich als Nichtjuristen ist übrigens leider nicht ganz klar erkennbar, ob die von Ihnen formulierten Textvorschläge einer Datenschutzerklärung tatsächlich und bedingungslos übernommen werden dürfen, da fehlt mir der passende Copyright-Hinweis (oder ich habe ihn übersehen).
Und gar nicht einsichtig ist für mich, warum die Datenschutzerklärung (welch irreführendes Wortungetüm) auf JEDER Seite eines Webangebotes verlinkt sein soll (und unter dem Kennwort „Datenschutz“, wenigstens nicht das ganz lange Wort, aber manchmal layouttechnisch eine Katastrophe, und welches Wort hat es auf einer beispielsweisen englischen Seite zu sein?)
Artikel 12 abs. 7 ist von „standardisierten Bildsymbolen“ die Rede – das wäre u.U. eine Rettung des Layouts, aber welche Symbole sind erlaubt, wo ist denn der Standard? Sowas müsste der Gesetzgeber als Handreichung mitliefern.
Artikel 12 fordert, das Datenschutzthema und die die jeweilige Seite betreffenden Details in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (das ist doch ein Witz, oder?) – abgesehen von der unsäglichen Zumutung, aus 88 und mehr Seiten Juristensprache eine verständliche Erklärung in einfacher Sprache bauen zu sollen und dabei womöglich dennoch Fehlinterpretationen sicher vermeiden zu sollen, wenn man nicht abgemahnt werden will wegen irgendeiner zu unpräzisen Bemerkung, âbgesehen davon ist für mich NICHT erkenntlich, wie aus diesem Artikel abgeleitet werden kann, dass also auf JEDER Seite ein entsprechender Link gesetzt sein müsse. Habe ich da was übersehen? Ich meine, wie beim Impressum oder mindestens einer Kontaktinformation sollte man nicht lange suchen müssen, aber warum nicht via Hauptseite? Via Impressum?
Ich meine, es wäre natürlich gut, wenn man die entsprechende Seite an einer festen Stelle erreichen könnte. Das müsste meiner Ansicht nach dann aber nicht mal verlinkt sein, es könnte ein fester Pfad der URL sein, den man auch ohne Link erreicht. Und wenn man sowas schon festschreiben wollte, wäre vielleicht angemessen, Script- und Drittanbiterfreiheit zu fordern – dann wäre das eine nüchterne Seite, die mit dem Layout nix zu tun haben müsste, man könnte sogar ein transparentes Datenformat dafür entwerfen, sodass Browser den Datenschutzstatus einer angefahrenen Seite automatisch anzuzeigen in der Lage wären… Aber offenbar haben weder Gesetzgeber noch Lobby Phantasie und Problemlösungswillen.
Serk meint
26. Mai 2018 at 14:44
Unglaublich gut zusammen gefasst.
Vielen lieben Dank euch!
Lasst euch für diesen tollen Artikel feiern!
robert meint
23. Mai 2018 at 9:54
wie sollte ein schreiben / vordruck der datenschutzerklärung aussehen aufbau bitte nach möglichkeit mir eines mitteilen. danke
datenschutz.org meint
8. Juni 2018 at 16:49
Hallo Robert,
Sie können sich an unseren Mustern allgemein informieren. Da jedoch in jedem Einzelfall exakte Anpassungen erforderlich sind, können wir keine allgemeingültigen Vorlagen zur Verfügung stellen.
Die Redaktion von Datenschutz.org
akira meint
23. Mai 2018 at 9:16
Hallo,
erstmal ein Dankeschön für die vielen Erklärungen.
Kann es sein daß ein Absatz fehlt?
Im Text von „Können Websitebesucher Sie kontaktieren?“ wird weiter unten folgendes geschrieben:
Bieten Sie auf Ihrer Website Ihre Kontaktdaten bzw. ein Kontaktformular an, muss Ihre Datenschutzerklärung folgendes Muster enthalten:
Leider kommt darunter kein Mustertext sondern nur eine Hinweisbox.
datenschutz.org meint
8. Juni 2018 at 16:45
Hallo Akira,
vielen Dank für den Hinweis. Im Zuge der Anpassung an die DSGVO haben wir einige Passagen, bei denen Unsicherheiten herrschen können, gestrichen, da wir grundsätzlich keine Garantie für Rechtssicherheit, Vollständigkeit und Korrektheit übernehmen können.
Die Redaktion von Datenschutz.org
M.S. meint
22. Mai 2018 at 7:52
Vielen Dank für diese umfassende Zusammenfassung! Wir als e.V. haben durch unseren externen Datenschutzbeauftragten lediglich den Hinweis erhalten, die Datenschutzerklärung zu ergänzen, allerdings nicht in welcher Form und mit welchen genauen Inhalten. Ist es erlaubt, das o.g. Muster dafür frei zu verwenden – muss ggf. Ihre Seite als Quelle angegeben werden? Danke!
datenschutz.org meint
8. Juni 2018 at 15:45
Hallo,
bitte beachten Sie, dass unser Muster nur der allgemeinen Orientierung dient. Wir können weder Rechtssicherheit noch Wirksamkeit oder Vollständigkeit garantieren. Eine Anpassung an die jeweiligen Umständen ist unerlässlich.
Die Redaktion von Datenschutz.org
Daniela meint
15. Mai 2018 at 9:47
Was ist mit Webfonts von Google und der Einbindung von YouTube-Videos?
Diese wurde hier gar nicht betrachtet, müssen aber dennoch irgendwie in der Datenschutzerklärung eingebunden werden.
datenschutz.org meint
6. Juni 2018 at 17:32
Hallo Daniela,
bitte beachten Sie, dass wir an dieser Stelle nicht alle Eventualitäten berücksichtigen können. Ein entsprechender Hinweis findet sich mehrfach im Text. Die individuelle Anpassung und ggf. Beratung durch einen Datenschutzbeauftragten bleibt unerlässlich und kann von uns nicht ersetzt werden.
Die Redaktion von Datenschutz.org
Barbara meint
13. Mai 2018 at 15:24
Hallo, vielen Dank für die Hilfestellungen auf dieser Seite!
Ich betreibe eine private Hobby-orientierte Website, die selbst programmiert wurde. Sie enthält kein Kontaktformular und keine „Meinungsäußerungsplattform“ für Besucher. Es ist nur meine Email-Adresse angegeben.
Ich habe kein Setzen von Cookies programmiert und auch keinen Vertrag bezüglich statistischer Auswertungen zu Website-Benutzerdaten (z. B. Google Analytics) abgeschlossen. Von mir werden keinerlei Daten von Website-Besuchern gespeichert, mit Ausnahme derer, die mir explizit mitgeteilt werden (z. B. über meine Email-Adresse). Darauf hinzuweisen ist klar.
Fragen:
Ist es sinnvoll trotzdem sicherheitshalber auf Cookies und Google Analytics hinzuweisen, falls z.B. der Webspace-Bereitsteller derartige Daten erhebt?
Wie verhält es sich mit weiterführenden Links zu anderen Websites (außer Facebook und Twitter)? Muss dafür auch bezüglich der DS-Erklärung etwas beachtet werden oder genügt es, dass man für diese verlinkten Websites „keine ds-rechtliche Haftung übernimmt“?
Nochmals danke!
datenschutz.org meint
6. Juni 2018 at 17:11
Hallo Barbara,
in der Regel erheben Hoster automatisch gewisse Daten (etwa Logfiles). Hierauf sollte in der Datenschutzerklärung hingewiesen werden. Werden keine Cookies verwendet, ist ein gesonderter Hinweis jedoch in der Regel nicht erforderlich. Ein Hinweis auf die Möglichkeit der Datenerhebung durch Dritte bei externen Verlinkungen kann hilfreich sein. Dieser kann ggf. auch direkt bei der Verlinkung erfolgen. Im Fall einer Verlinkung werden durch die Drittseiten aber nicht über Ihre Seite Daten verarbeitet.
Die Redaktion von Datenschutz.org
Inita meint
19. April 2018 at 4:57
Vielen Dank für diese kommentierte Datenschutzerklärung. Sehr schön kurz und sehr schön klar. Was ich mich immer noch frage: Mir wurde in der Zwischenzeit immer wieder geraten (unter anderem von einer Datenschützerin) keine Social Media Plugins zu verwenden. Dennoch finde ich in allen Datenschutzerklärungen den Passus über die se Plugins, was bei mir den eindruck erweckt, dass sie doch DSGVO konform sind? Das verwirrt mich schon … darf ich? Nach dieser Datenschutzerklärung ja (und auch nach anderen), andere, die davon auch was versehen, sagen „nein, besser nicht“ – außer Shariff Plugins.
datenschutz.org meint
18. Mai 2018 at 11:34
Hallo Inita,
Social Plugins sind aufgrund ihrer Datenübermittlungen umstritten. Es gibt allerdings datenschutzfreundliche Lösungen wie die von Ihnen genannten Shariff-Buttons oder auch Zwei-Klick-Lösungen. Wenn Sie solche Plugins auf diese Weise verwenden, müssen Sie dies in jedem Fall in der Datenschutzerklärung angeben.
Die Redaktion von Datenschutz.org
wendenburg meint
13. April 2018 at 17:59
super erklärt, vielen Dank dafür!
Vielleicht ist es möglich, ein paar Informationen hinsichtlich einer Europaweiten Datenschutzerklärung aufzunehmen. Weist z.B. das Impressum eine Adresse in Frankreich auf, welche Version einer Datenschutzerklärung ist dann auf der deutschen Version der Seite gefordert?
Spielt die TLD eine Rolle, also wo die Domain registriert ist (com = US, de = DE), oder nur die Impressums-Adresse?
datenschutz.org meint
18. Mai 2018 at 11:07
Hallo wendenburg,
die Frage nach der Anwendung hiesigen Rechts auf Domains, die anderswo registriert sind, ist juristisch schwierig. Konsultieren Sie hierzu am besten einen Anwalt.
Die Redaktion von Datenschutz.org