Was muss in der Datenschutzerklärung stehen?

Nicht erst seit 2018 müssen Sie sich als Selbständiger an die Regeln der Datenschutzgrundverordnung (DSGVO) halten und eine Datenschutzerklärung für Kunden auf Ihrer Website integrieren. Erfahren Sie hier, was es dabei zu beachten gilt und werfen Sie einen Blick in unsere Checkliste.

Hinweis: Gendergerechte Sprache ist uns wichtig. Daher verwenden wir auf diesem Portal, wann immer möglich, genderneutrale Bezeichnungen. Daneben weichen wir auf das generische Maskulinum aus. Hiermit sind ausdrücklich alle Geschlechter (m/w/d) mitgemeint. Diese Vorgehensweise hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung.

Blatt Papier, auf dem DSGVO steht - Artikelbild von Lexware
© TeamDF - stock.adobe.com
 |  Zuletzt aktualisiert am:22.08.2023

Definition

Definition: Was ist eine Datenschutzerklärung?

Eine allgemeine Datenschutzerklärung informiert Websitebesucher darüber, was mit ihren personenbezogenen Daten geschieht. Wenn Sie für Ihr Unternehmen eine Website erstellt haben, sollten Sie sich auf jeden Fall rund um regelkonforme Datenschutzerklärung und deren erforderliche Inhalte schlau machen. Das Gleiche gilt, wenn Sie einen Onlineshop erstellen wollen oder bereits einen betreiben.

Wann braucht man eine Datenschutzerklärung?

Wenn Sie als Selbstständiger einen Onlineshop betreiben und mit personenbezogenen Daten arbeiten, brauchen Sie stets eine Datenschutzerklärung. Deren korrekte Inhalte beschäftigen wohl die meisten Websitebetreiber. Denn wer hier Fehler macht, muss mit beträchtlichen Strafen rechnen: Bis zu 20 Millionen Euro Bußgeld oder vier Prozent des Jahresumsatzes sind im schlimmsten Fall zu bezahlen – von einer wettbewerbsrechtlichen Abmahnung ganz abgesehen.

Achtung

Vorsicht vor Abmahnungen durch Konkurrenten

Ihre Konkurrenten am Markt können Ihre Datenschutzerklärung auf Richtigkeit prüfen und Sie über darauf spezialisierte Anwälte abmahnen lassen. Hier ist also Vorsicht geboten, um zu vermeiden, dass ein Verfahren gegen Sie eröffnet wird.

Grundprinzipien von Datenschutz: Worüber informiert die Erklärung?

Möchten Sie wissen, was genau in Ihre Datenschutzerklärung gehört, sollten Sie den Artikel 13 der DSGVO kennen. Er bietet Ihnen Orientierung und hilft, Fehler zu vermeiden. Welche neuen Informationspflichten mittlerweile hinzugekommen sind, können Sie ebenfalls darin nachlesen. Der offensichtlichste Unterschied im Vergleich zur alten Rechtsgrundlage sind laut DSGVO die gestärkten Rechte betroffener User und Kunden. Denn bei der Datenschutzerklärung geht es stets um den regelkonformen Umgang mit personenbezogenen Daten (z. B. um Kundendaten), die Sie als Unternehmer erheben. Handelt es sich um anonymisierte Daten, braucht es keine Datenschutzerklärung. So jedenfalls die Theorie.

Auf der sicheren Seite sind Sie, wenn Sie auch bestehende Datenschutzerklärungen für Ihre Websites prüfen und bei Bedarf an die neuen Datenschutzbestimmungen angleichen. Denn – wie gesagt – Sie müssen darin über jede Erhebung bzw. Verarbeitung sowie Nutzung personenbezogener Daten aufklären. Das heißt: Ihre Datenschutzerklärung muss folgende Fragen korrekt und klar beantworten:

  • Welche Daten werden erhoben?
  • Weshalb werden sie erhoben?
  • Was passiert mit ihnen?
  • Werden die personenbezogenen Daten an Dritte weitergegeben?
  • Findet vielleicht sogar eingrenzüberschreitender Datentransfer statt?
  • Welche Sicherheitsmaßnahmen zum Datenschutz werden getroffen?

Datenschutzerklärung für alle Fälle

Selbst wenn Sie keine Daten Ihrer Besucher erheben, ist es gut möglich, dass Ihr Hoster das macht, und in diesem Fall sind Sie wieder in der Pflicht. Denkbar ist zum Beispiel, dass Sie in dem Vertrag über die Bereitstellung der Dienste zugestimmt haben, dass Ihr Hoster Server-Logfiles erstellt oder bestimmte Tracking-Tools einsetzt – und die müssen Sie in der Datenschutzerklärung erwähnen.

Um auf Nummer sicher zu gehen, sollten Sie daher auch dann eine Einwilligung und Datenschutzerklärung auf Ihrer Seite aufführen, wenn Sie keine personenbezogenen Daten sammeln. Sie können sich die Erklärung häufig nur dann sparen, wenn Sie z. B. neben Ihrer Website noch eine Instagram-Seite für Ihr Unternehmen betreiben. Häufig reicht es aus, wenn Sie die vorhandene Datenschutzerklärung von Instagram nutzen.

Info

Datenschutz im Unternehmen – seien Sie auf der sicheren Seite

Auch ohne Website brauchen Sie mitunter eine Datenschutzerklärung. Zum Beispiel dann, wenn Sie über Printmedien Anzeigen schalten und per E-Mail personenbezogene Daten Ihrer Interessenten und potenzieller Kunden sammeln.

Was sind personenbezogene Daten?

Es stellt sich natürlich die Frage, was überhaupt zu den personenbezogenen Daten gehört, die besonders geschützt werden müssen. Laut DSGVO sind damit folgende Daten gemeint:

  • IP-Adresse
  • Standortdaten
  • E-Mail-Adresse

Dazu zählen aber auch die Klassiker, wie:

  • Name der Websitebesucher
  • Alter der Websitebesucher

Diese Daten sollten daher im Rahmen der Datenschutzerklärung auf keinen Fall außer Acht gelassen werden.

Inhalt der Datenschutzerklärung: Was hat sich seit Einführung der DSGVO geändert?

Seit Mai 2018 müssen Datenschutzerklärungen auf den Websites den Vorgaben der DSGVO entsprechen. Die gute Nachricht: So viel änderte sich gar nicht. Denn die wesentlichen Punkte, die eine Datenschutzerklärung schon vor dem Inkrafttreten der DSGVO erfüllen musste, muss sie auch jetzt erfüllen. Sie muss beispielsweise Informationen enthalten über:

  • Art: Welche Daten erheben Sie?
  • Umfang: Wie umfangreich ist die Erhebung?
  • Zweck der Erhebung: Warum erheben Sie die Daten?
  • Verwendung von personenbezogenen Daten: Was passiert mit den Daten?
  • Weitergabe: Geben Sie die Daten an Drittanbieter oder andere Personen oder Unternehmen weiter?
  • Datensicherheit: Welche Vorkehrungen haben Sie getroffen, um die Sicherheit der Daten zu garantieren?

Auf Ihrer Website muss also auf jeden Fall eine Erklärung darüber zu finden sein, dass Sie überhaupt personenbezogene Daten erheben.

Diese muss zusätzlich Infos enthalten über:

  • Tracking- und Analysetools
  • Social-Media-Plug-Ins
  • Browser-Daten

Durch die neuen Anforderungen für Datenschutz gemäß DSGVO änderte sich jedoch die Art und Weise, wie Nutzer auf der Website informiert werden. Seit der Neuregelung müssen Betreiber nämlich umfassender über die Rechtsgrundlage und die Nutzerrechte informieren.

Rechtsgrundlage

Die DSGVO sieht vor, dass Websitebetreiber von nun an die konkrete Rechtsgrundlage nennen müssen, auf der sie die Daten erheben und verarbeiten. Diese Erwähnung gehört also in die jeweilige Datenschutzerklärung hinein.

Nutzerrechte

Nutzer haben umfassende Rechte im Hinblick auf ihre Daten. Als Betreiber müssen Sie Ihre Nutzer darüber informieren.

  1. Widerrufsrecht: Es sollte als separater Hinweis zum Beispiel mit hervorgehobener Schrift und unter Angabe des Art. 21 DSGVO in der Datenschutzerklärung stehen
  2. Recht auf Löschung/Korrektur
  3. Recht auf Auskunft
  4. Beschwerderecht
  5. Recht auf Datenübertragbarkeit
  6. Recht auf Einschränkung der Verarbeitung
  7. Kontaktdaten des Datenschutzbeauftragten: Sollte es in Ihrem Unternehmen einen Datenschutzbeauftragten geben, muss dieser ebenfalls in der Datenschutzerklärung genannt werden. In den meisten Fällen genügt es jedoch, wenn Sie die E-Mail-Adresse angeben.
  8. Weiterverarbeitung der Daten: Wenn die Daten aus der Datenerhebung auf Ihrer Website an einen Server in einem nicht europäischen Drittland übermittelt werden, müssen Sie auch das in der Datenschutzerklärung ansprechen. Ebenfalls wichtig ist dabei die Angabe, ob es mit dem jeweiligen Land ein Datenschutzabkommen gibt.
  9. Speicherdauer: Sie müssen Ihre Nutzer darüber informieren, wie lange Sie deren persönliche Daten speichern.
  10. Nutzung einer automatisierten Entscheidungsfindung: Nutzen Sie auf Ihrer Website Dienste wie eine vollautomatisierte Datenanalyse, haben Ihre Nutzer das Recht, auch das zu erfahren. Entsprechend gehört auch diese Angabe in die Datenschutzerklärung.

Wie müssen die Datenschutzhinweise formuliert sein?

Zu den Vorgaben der DSGVO im Hinblick auf die Datenschutzerklärung gehört nicht zuletzt die Art und Weise, wie Informationen den Usern übermittelt werden. Damit ist gemeint, dass die Informationen zur Verarbeitung der personenbezogenen Daten bestimmte Voraussetzungen erfüllen müssen – sollten also folgendermaßen formuliert sein:

  • präzise
  • verständlich
  • transparent
  • leicht zugänglich
  • in klarer und einfacher Sprache

Tipp

Die Gestaltung der Datenschutzerklärung

Um die Voraussetzungen für die Art und Weise der Übermittlung zu erfüllen, können Sie die Datenschutzerklärung auch visuell gestalten und gliedern. Verschiedene Absätze oder Aufzählungspunkte erleichtern das Lesen. Was sich wiederum positiv auf die Verständlichkeit der Datenschutzerklärung auswirkt.

Wo muss die Datenschutzerklärung zu finden sein?

Auch den Ort, an dem die Datenschutzerklärung zu finden ist, dürfen Sie nicht vernachlässigen. Denn eine kurze Angabe im Impressum reicht in der Regel nicht aus – jedenfalls sollten Sie gerade in diesem Punkt keine Verstöße gegen die Vorgaben riskieren.

Besser ist es daher, wenn Sie dafür sorgen, dass die Nutzer von jeder Unterseite aus Zugriff auf die Datenschutzerklärung haben und dass diese eindeutig betitelt ist. Idealerweise können sie die Datenschutzerklärung mit nur einem Klick erreichen und finden den entsprechenden Link ohne Probleme auf Ihrer Website.

Diese Paragrafen sollten Sie kennen

Alles über die Impressumspflicht und deren Inhalte finden Sie in § 5 Telemediengesetz (TMG) unter dem Schlagwort „Pflicht zur Anbietererkennung bei Online-Angeboten“ sowie in § 18 des Medienstaatsvertrags (MStV).

Checkliste: Zwingende Angaben laut DSGVO

Achtung

Suchen Sie bei Fragen einen Anwalt auf

Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit. Sollten Sie konkrete Fragen zum Thema Datenschutz haben, empfiehlt sich der Gang zu einem Rechtsanwalt. Denn das Thema ist durchaus komplex und schon kleine, scheinbar unbeachtliche Verstöße können Folgen haben.

Nach Art.13 DSGVO gehören die folgenden Daten und Angaben zwingend in Ihre Datenschutzerklärung:

  • Eine Einleitung, die darüber informiert, was eine Datenschutzerklärung ist.
  • Kontaktdaten und Namen des Datenschutzbeauftragten bzw. seines Vertreters.
  • Zweck und Rechtsgrundlagen der Datenverarbeitung und Dauer der Speicherung gemäß DSGVO.
  • Angaben zu automatisierten Vorgängen der Datenverarbeitung, zum Beispiel Server-Log-Files.
  • Angaben zu den jeweiligen Prozessen, bei denen personenbezogene Kundendaten erhoben werden. Dazu gehören zum Beispiel Kontaktformulare, Newsletter, Anmeldungen, Bestellungen im Onlineshop.
  • Angaben zur Verwendung von Plug-ins, Tracking, Cookies und externen Inhalten. An dieser Stelle müssen Sie also auch die Inhalte von Drittanbietern nennen – wie zum Beispiel Social-Media-Netzwerk-Einbindungen.
  • Informationen zu den einzelnen Rechten von Usern bzw. Kunden. Gemeint sind beispielsweise das Beschwerderecht bei einer Datenschutzbehörde, das Recht auf Auskunft sowie auf Löschung, das Recht auf Berichtigung und Einschränkung der Verarbeitung sowie das Recht auf Datenherausgabe und das Recht auf Widerruf der Einwilligung.

Können Sie rechtssichere Datenschutzerklärungen mit Generator erstellen?

Datenschutzerklärungen müssen stets umfassend und individuell, also bezogen auf jedes Geschäftsmodell, formuliert werden. Dabei gilt es, nicht nur die Neuerungen der DSGVO zu berücksichtigen, sondern mitunter auch feine Fallstricke zu erkennen und zu meiden. Das benötigt Zeit und Know-how. Deshalb sind im Netz immer häufiger Anbieter eines Datenschutzgenerators zu finden, die es Ihnen ermöglichen, schnell und einfach eine auf Sie zugeschnittene Datenschutzerklärung für Ihre Website zu generieren.

Im Vergleich zu vielen vorformulierten Muster-Datenschutzerklärungen oder simplen Vorlagen für eine Datenschutzerklärung können Sie mithilfe eines Datenschutzgenerators die Datenschutzerklärung für Ihre Website wesentlich individueller erstellen. Denn ein Generator ermöglicht es Ihnen, alle für Sie relevanten Angaben – zum Beispiel solche zu Verarbeitungsvorgängen oder Tools – direkt anzuklicken. So gestalten Sie eine inhaltlich auf Sie zugeschnittene Datenschutzerklärung.

Einfache Standard-Datenschutzerklärungen über einen Generator sind auf jeden Fall besser als nichts. Allerdings übernehmen die diversen Anbieter keine Haftung für deren Korrektheit.

Info

Juristischer Rat ist durch nichts zu ersetzen

Wenn Sie auf Nummer sicher gehen wollen, dann verlassen Sie sich nicht nur auf einen Datenschutzgenerator. Denn mit einer individuell erstellten Datenschutzerklärung von Fachjuristen können diese digitalen Tools naturgemäß nicht mithalten.

Andererseits ist eine individuelle und aktuelle Datenschutzerklärung von einem Profi natürlich auch mit Kosten verbunden. Eine erste (und vorübergehende) Alternative könnte die Musterdatenschutzerklärung der Universität Münster sein.

FAQ: Häufige Fragen und Antworten zur Datenschutzerklärung

Wir haben Antworten auf die wichtigsten Fragen zum Thema gesammelt.

Wann brauche ich eine gesetzeskonforme Datenschutzerklärung auf Englisch?

 

Als deutscher Websitebetreiber, der seine Website in deutscher Sprache anbietet, müssen Sie auch eine Datenschutzerklärung auf Deutsch zur Verfügung stellen. Es gibt auch Ausnahmen, die dazu führen, dass Sie eine englische Übersetzung der Datenschutzerklärung brauchen:

  1. Wenn Sie eine Telefonnummer mit internationaler Vorwahl besitzen.
  2. Wenn Ihre Website auch auf Englisch existiert und Sie damit internationale Kunden ansprechen möchten.
  3. Wenn Sie in englischsprachigen Ländern Ware verkaufen möchten.

Generell macht es Sinn, eine Datenschutzerklärung auf Englisch bereitzustellen. Denn englischsprachige User aus der EU, die kein Deutsch verstehen, können dann Ihre Erklärung zur Erhebung personenbezogener Daten auch verstehen.

Brauche ich die Einwilligungs- und Datenschutzerklärung, wenn ich keine personenbezogenen Daten erhebe?

 

Auch dann, wenn Sie keine personen¬bezogenen Daten erheben, sollten Sie eine Datenschutz¬erklärung auf Ihrer Website haben. Denn Ihr Hoster könnte Daten User erheben.

Welche Informationen muss die Datenschutzerklärung über die Dauer der Datenspeicherung enthalten?

 

Im entsprechenden Absatz sollten Sie angeben, wie lange die jeweiligen Daten gespeichert werden. Am besten Sie geben das für die jeweiligen Punkte separat an.

Was muss in einer DSGVO-konformen Datenschutzerklärung stehen?

 

Wenn Sie wissen möchten, was eine DSGVO-konforme Datenschutzerklärung beinhalten muss, dann nutzen Sie unsere Checkliste. Dort sind Ihre Pflichten aufgeführt. Bei individuellen oder darüber hinausgehenden Fragen sollten Sie einen Rechtsexperten zu Rate ziehen.

Zusammenfassung

Datenschutzerklärung zusammengefasst

  • Eine Datenschutzerklärung ist Pflicht, wenn Sie personenbezogene Daten auf Ihrer Website erheben.
  • In Ausnahmefällen brauchen Sie auch bei Printangeboten eine Datenschutzerklärung.
  • Sie sollten sich genau an die Vorgaben der DSGVO und die Pflichtangaben halten, denn Verstöße können strafrechtliche Konsequenzen mit einem Bußgeld haben.
  • Im Netz gibt es kostenlose Vorlagen für Datenschutzerklärungen. Sie können auch einen Generator zur Erstellung einer Datenschutzerklärung nutzen. Um auf der sicheren Seite zu sein, empfiehlt sich jedoch eine individuelle Rechtsberatung bzw. die Erstellung durch einen Fachjuristen.
Lexware Newsletter

Möchten Sie zukünftig wichtige News zu Gesetzes­änderungen, hilfreiche Praxis-Tipps und kostenlose Tools für Unternehmen erhalten? Dann abonnieren Sie unseren Newsletter.