Die Erläuterung für Betroffene darüber, welche Daten wie verarbeitet werden. Ein Website Check zeigt Ihnen, welche Services Sie dabei besonders berücksichtigen müssen. Eine Cookie-Verwaltungssoftware unterstützt Sie bei der technischen Umsetzung.
Die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDGS-neu) verpflichten Webseitenbetreiber zu deutlich mehr Transparenz beim Datenschutz. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten dient Art. 6 Abs. 1 DSGVO. Demnach muss der Besucher / Nutzer einer Website in einer Datenschutzerklärung darüber informiert werden, welche personenbezogenen Daten erhoben, gespeichert und verwendet werden.
Dabei sind Logfiles, Registrierungsmöglichkeiten, die Verwendung von Cookies und der Einsatz von Analyse- oder Trackingdiensten zu berücksichtigen. Einfache Muster-Datenschutzerklärungen reichen nicht mehr aus. Welche inhaltlichen, formalen und technischen Anforderungen zu beachten sind, soll hier näher beschrieben werden.
Inhaltlich muss eine Datenschutzerklärung (DSGVO) den Vorgaben des Art. 13 DSGVO entsprechen. Nachfolgend ein Überblick über die Punkte, die zwingend in der DSE enthalten sein müssen:
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenMit einer Datenschutzerklärung erfüllen WebsitebetreiberInnen ihre Informationspflichten nach Artikel 13 der Datenschutzgrundverordnung (DSGVO). Denn Betroffene (also Kunden und Kundinnen) haben das Recht, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden.
Fast jeder Website-Betreiber ist verpflichtet, eine Datenschutzerklärung auf seiner Website bereitzustellen. Diese muss jedoch individuell an die jeweilige Website angepasst werden, weshalb Datenschutzexperten von Muster-Datenschutzerklärungen abraten. Nur in äußerst seltenen Fällen kann auf eine Datenschutzerklärung auf der Website verzichtet werden.
Laut DSGVO Art. 13 sind Sie zur Information Ihrer Website-BesucherInnen verpflichtet, sobald Sie personenbezogene Daten erheben. Wird eine fehlende oder unzureichende Datenschutzerklärung von KundInnen, Mitbewerbern oder Behörden beanstandet, können Abmahnungen und Bußgelder die Folge sein.
Die Datenschutzerklärung muss jederzeit alle auf Ihrer Website enthaltenen Elemente und die entsprechenden Datenschutzmaßnahmen aufführen. Die sich ständig ändernden technischen Rahmenbedingungen, Plugins und eingebundenen Elemente machen es erforderlich, die Datenschutzerklärung bei jeder Änderung umgehend anzupassen.
Damit Sie nicht Tag und Nacht mit Ihrer Datenschutzerklärung beschäftigt sind und sich keine Sorgen um Abmahnungen und Bußgelder machen müssen, haben wir die intelligente Cloud DSE entwickelt. Diese beinhaltet einen Monitoring-Service, der Ihre Website regelmäßig auf neu eingebundene Technologien scannt und einen Update-Service, der Ihre DSE laufend an die Anforderungen der DSGVO anpasst.
Die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz (BDSG-neu) sehen wettbewerbsrechtliche Abmahnungen und sehr hohe Bußgeldzahlungen von mehreren Millionen Euro bzw. prozentual am Umsatz gemessene Strafgelder vor, wenn die Bestimmungen nicht eingehalten werden.
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
Welche Informationen müssen in der Datenschutzerklärung enthalten sein?
Laut DSGVO müssen Sie genau, korrekt und gut verständlich erläutern, welche Daten Sie auf Ihrer Internetseite erheben und wie Sie mit diesen Daten umgehen. Dafür erstellen Sie im besten Fall eine Analyse der datenverarbeitenden Services auf Ihrer Website, auf deren Grundlage Sie Ihre Datenschutzerklärung (DSE) erstellen. Kommt ein Service dazu, muss die DSE wieder angepasst werden. Um sich Arbeit zu sparen, raten wir zu einer dynamischen Lösung, die die Veränderungen Ihrer Website im Blick behält.
Geben Sie also an, wo (Serverstandort) und wie lange (Speicherdauer) Sie die Daten speichern und welche technischen Auswertungsmöglichkeiten (Tools) Sie nutzen. Hierzu gehören beispielsweise Cookies, aber auch Analysen und statistische Auswertungen, selbst wenn diese anonymisiert erfolgen und Sie die einzelnen IP-Adressen nicht einsehen können.
In Ihrer Datenschutzerklärung müssen Sie dem Nutzer mitteilen, ob und an welchen Stellen seine Daten an Dritte weitergegeben werden. Das ist zum Beispiel bei der Einbindung von Links auf soziale Netzwerke, Videoplattformen und andere externe Anbieter der Fall.
Aber auch die Verwendung von Google Analytics, bei der die Daten über Googles Server analysiert werden, muss angegeben werden. Schlüsseln Sie sehr genau die Bedingungen auf, wann und wie diese Datenweitergabe an wen erfolgt und wie sie kontrolliert wird – beispielsweise durch den externen Datenschutzbeauftragten.
Je mehr Plug-Ins und Dialogmöglichkeiten Ihre Webseiten bieten, desto länger wird Ihre Datenschutzerklärung. In allen Fällen müssen Sie einzeln darstellen, zu welchem Zweck und auf welcher Rechtsgrundlage Sie die Daten erheben und verarbeiten, wie Nutzer dieser Datenverarbeitung nachträglich widersprechen können und wie Sie dann die Datenvernichtung sicherstellen.
Jeder Verwendungszweck muss einzeln aufgeführt werden, damit der Nutzer ihm einzeln zustimmen oder auch einzeln widersprechen kann. Es ist also sinnvoll, möglichst datensparsam vorzugehen und nur die notwendigsten Daten zu erfassen.
Außerdem darf dem Nutzer kein Nachteil dadurch entstehen, wenn er der Datenverwendung widerspricht – etwa durch Aufkündigung des Vertrages (Koppelungsverbot).
In der Datenschutzerklärung müssen Sie darlegen, dass jeder Nutzer jederzeit das Recht hat zu erfahren, welche Daten Sie über ihn gespeichert haben. Dazu kann er formlos eine Betroffenenanfrage an Ihr Unternehmen oder Ihren Datenschutzbeauftragten richten.
Diese Auskunft muss dem Nutzer kostenlos, vollständig und innerhalb eines Monats in einer datenschutzrechtlich unbedenklichen Form erteilt werden, beispielsweise unter Schwärzung aller anderen Angaben per Post.
Außerdem beschreiben Sie detailliert das Vorgehen in Ihrem Unternehmen, wenn Nutzer ihre Daten ändern oder löschen möchten beziehungsweise ihrer Einwilligung zu bestimmten Datenverarbeitungen nachträglich widersprechen.
Geben Sie an, innerhalb welches Zeitraums Sie den gewünschten Vorgang abschließen, und halten Sie diese Angabe auch ein. Benennen Sie an dieser Stelle den Datenpflegeverantwortlichen mit einer Kontaktmöglichkeit, so dass der Nutzer seinen Wunsch sofort übermitteln kann.
Diese Information über die Nutzerrechte sollten Sie in Ihrer Datenschutzerklärung grafisch auffällig hervorheben, etwa durch Farb- oder Fettschrift oder eine auffällige Hinterlegung.
Je sensibler die erhobenen personenbezogenen Daten sind, desto genauer müssen Sie auf die Speicherung, Verwendung, Weitergabe und Löschung eingehen. Besonders sensibel sind etwa Geburtsdatum, Kontoverbindung, Kreditkartennummer oder Gesundheitsangaben.
Der Nutzer soll klar erkennen können, wer Zugriff auf diese Daten hat und wie sie gegen Angriffe von außen geschützt werden.
Hierbei sollten Sie auch auf von Ihnen genutzte Sicherheitsverfahren wie Verschlüsselung vor dem Datenversand, sichere Datentransfers, Zwei-Faktor-Authentifizierung und die geschützte Verarbeitung in Ihrem Haus eingehen.
Falls Sie einen Datenschutzbeauftragten haben, gehört diese Angabe samt den Kontaktmöglichkeiten ebenfalls in die Datenschutzerklärung.
Für Ihre Datenschutzerklärung gibt es einige einheitliche Pflichtelemente sowie Textteile, die sich auf bestimmte Erweiterungen und Interaktionsmöglichkeiten auf Ihrer Internetseite beziehen und nur zum Einsatz kommen, wenn Sie auch die technischen Möglichkeiten nutzen.
Wichtig ist bei der möglichen Datenweitergabe an Dritte, auch jeweils deren Sitz und den Standort des betreffenden Servers zu benennen, an den die Daten überspielt werden. Diese Information dient dazu, das auf den Datenschutz anzuwendende Recht des jeweiligen Landes klarzustellen.
In einer Datenschutzerklärung werden dem Nutzer Informationen über die Datenverarbeitung auf der Website zur Kenntnisnahme vorgelegt. Der Kunde muss die Kenntnisnahme der Datenschutzerklärung jedoch auch bei einer Bestellung nicht bestätigen. Es genügt, wenn er bei Abschluss der Bestellung auf die Geltung Ihrer Datenschutzerklärung und deren Fundstelle – am besten durch einen Link – hingewiesen wird. Zum Schutz und zur Sicherheit personenbezogener Daten gibt es aber auch eine Einwilligungspflicht für bestimmte datenverarbeitende Dienste. Die Einwilligung muss dann über eine Einwilligungsplattform, auch Cookie-Banner genannt, eingeholt werden.
Einwilligungspflichten Cookies für bestimmte Dienste / Drittanbieter (wie z.B. Google Analytics, Google Maps etc.), die Daten sammeln, müssen vom Nutzer widersprochen werden können. In diesem Fall müssen Webseitenbetreiber über eine Consent Management Plattform mit Opt-In und Opt-Out Funktion die Einwilligung zum Setzen des Cookies einholen oder den Widerspruch akzeptieren und dokumentieren. Die Regelungen der Datenschutz-Grundverordnung
Sie können auch eine Beschreibung einfügen, wie der Nutzer die Verwendung von Cookies in seinem Browser deaktivieren kann. Wenn es nicht möglich ist, einen Opt-Out-Button einzubinden, stellen Sie eine geeignete Lösung bereit, bei der der Nutzer seinen Widerspruch einreichen kann, z. B. Name, Telefonnummer und E-Mail-Adresse des Datenschutzbeauftragten.
Müheloses Website-Compliance Management für Ihr Unternehmen.
Wir helfen Unternehmen dabei, die gesetzlichen Anforderungen für Websites, Apps und Social Media umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Mit unserer DSGVO-Software, spezialisierten E-Learnings oder in der Beratung zu Consent Management sorgen wir dafür, dass die gesetzlichen Vorschriften eingehalten und rechtliche Risiken minimiert werden.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zur Web-Compliance und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
