Seit dem 25. Mai 2018 greift in ganz Europa die neue Datenschutzgrundverordnung (DSGVO). Wer noch nicht über eine entsprechende Datenschutzerklärung verfügt, die alle Anforderungen der DSGVO abdeckt, findet hier alle nötigen Informationen, um Abmahnungen und Bußgelder zu vermeiden. Unternehmer, Selbstständige und Freiberufler, die bereits eine ältere Version einer Datenschutzerklärung auf ihrer Website vorweisen können, sollten diese umgehend auf Aktualität und DSGVO-Konformität prüfen, denn es gibt einige Neuerungen, die ergänzt werden müssen. Wir helfen Ihnen dabei!
Wer muss eine Datenschutzerklärung vorweisen können?
Im Grunde sind all diejenigen an diese Informationspflicht gebunden, die personenbezogene Daten verarbeiten und speichern, ausgenommen hiervon ist die Speicherung für private Zwecke durch Privatpersonen. Werden also persönliche Informationen natürlicher Personen erhoben, gespeichert und verarbeitet, muss das jeweilige Unternehmen seit dem 25.05.2018 eine DSGVO-konforme Datenschutzerklärung vorweisen können. Diese personenbezogenen Daten schließen Mitarbeiter-, Kunden- und Nutzerdaten mit ein.
Außerdem benötigt jede Homepage im Internet eine gültige Datenschutzerklärung, die personenbezogene Daten der Nutzer, die die Seite besuchen, erfasst. Dies ist bei nahezu allen (nicht nur rein privaten) Websites der Fall, da alleine die IP-Adresse des Besuchers und dessen Verweildauer auf der Seite aufgezeichnet werden.
Datenschutzerklärung Website: Die Informationspflichten
Prinzipiell muss auch die neue Version Ihrer Datenschutzerklärung über Art, Umfang und Zweck der Verarbeitung von personenbezogenen Daten informieren. Dazu gehören unter anderem die folgenden Punkte:
- Erfassung von IP-Adressen
- Erfassung von persönlichen Daten
- Informationen über Social Media Plugins
- Kontaktformulare
- Nutzung von Cookies
- Einsatz von Google Analytics oder anderen Analyse-Tools
Generell gilt: je mehr Tools und Dienste Sie verwenden, umso mehr Informationen und Hinweise müssen Sie in Ihrer Datenschutzerklärung dazu angeben und umso umfangreicher wird sie auch.
Der Inhalt der Datenschutzerklärung
Im Gegensatz zu bisherigen Vorschriften zur Datenschutzerklärung für die Homepage sind die Regelungen nun verschärft und wesentlich umfangreicher gestaltet worden. In den Artikeln 12 bis 14 der DSGVO ist festgelegt, welche Informationen die Betreiber von Websites, Online-Shops etc. für Nutzer bereitstellen müssen. Dazu gehören unter anderem die folgenden Punkte:
- Die Rechtsgrundlage
Nehmen Sie in Ihrer Datenschutzerklärung am besten eine Variante aus Artikel 6 DSGVO mit auf. Diese Norm enthält alle für den Nutzer notwendigen Informationen bezüglich der Rechtsgrundlage, die die Verarbeitung personenbezogener Daten zulässt.
- Die Nutzerrechte
Diese wurden mit der DSGVO noch intensiver gestärkt. Hierzu gehört vor allem auch das Widerspruchs- bzw. Widerrufsrecht, das ganz klar und deutlich aus der Datenschutzerklärung hervorgehen muss. Außerdem haben Kunden oder Nutzer auch das Recht auf Auskunft. Das bedeutet, dass sie sich jederzeit darüber informieren können und dürfen, welche Daten von ihnen gespeichert wurden und zu welchem Zweck dies geschieht. Ebenso können Nutzer von Ihnen verlangen, die jeweiligen Daten zu korrigieren, zu bearbeiten, zu löschen oder nicht mehr vollumfänglich zu verwenden.
Personen, deren Daten erfasst, gespeichert und verarbeitet werden, haben zudem ein spezielles Beschwerderecht, das sie gegenüber Aufsichtsbehörden geltend machen können. Sie müssen in Ihrer Datenschutzerklärung jedoch keine konkrete Datenschutzbehörde angeben. Es reicht völlig aus, wenn der Besucher Ihrer Website mithilfe des Art. 77 DSGVO auf sein Beschwerderecht aufmerksam gemacht wird. Des Weiteren gibt die Datenschutzgrundverordnung nun auch ein Recht auf Datenübertragbarkeit vor, das sicherstellt, dass Daten und Profile zukünftig von einem Anbieter zu einem anderen wechseln bzw. „umziehen“ können, zum Beispiel innerhalb der sozialen Netzwerke.
- Der Datenschutzbeauftragte
Sofern ein Unternehmen einen Datenschutzbeauftragten hat, muss dieser mit seinen Kontaktdaten in der Datenschutzerklärung angegeben werden. Eine E-Mail-Adresse reicht hier jedoch völlig aus.
- Die Datenübermittlung
Berücksichtigen Sie in Ihrer Datenschutzerklärung, dass der Nutzer auch darüber informiert wird, ob die Daten an bestimmte Server übermittelt werden, die sich nicht innerhalb der EU befinden und ob es für das betreffende Land ein bestimmtes Datenschutzabkommen gibt.
- Die Dauer der Datenspeicherung
Ein weiterer Punkt, der in einer aktuellen und DSGVO-konformen Datenschutzerklärung nicht fehlen darf, ist die Angabe über die Dauer der Datenspeicherung. Nutzer müssen darüber informiert werden, wie lange ihre personenbezogenen Daten gespeichert werden. Achtung: Daten, die nicht mehr länger benötigt werden und auch nicht mehr aufbewahrt werden müssen (z. B. aufgrund steuerrechtlicher Vorgaben), müssen gelöscht werden!
- Die automatisierte Entscheidungsfindung
Diese tritt zum Beispiel ein, wenn Personen bzw. deren Daten auf Kreditwürdigkeit geprüft werden. In diesen Fällen müssen die betroffenen Personen auch in der Datenschutzerklärung darauf hingewiesen werden.
Über Datenschutzerklärung im Unternehmen informieren
Ein wichtiges Kriterium der neuen DSGVO ist es, dass Sie Ihre Kunden und Mitarbeiter so präzise und dennoch so einfach und verständlich wie möglich über die Inhalte Ihrer Datenschutzerklärung informieren müssen. Die Informationen und Hinweise zum Datenschutz müssen in einer klaren und leicht verständlichen Sprache formuliert werden, wobei Fachausdrücke weitestgehend vermieden werden sollten. Ist dies nicht möglich, sollten bestimmte Begriffe zur besseren Verständlichkeit erläutert werden. Für eine gute Übersicht können auch Tabellen, Aufzählungen o. ä. in die Datenschutzerklärung eingebaut werden.
Muster und Vorlagen der Datenschutzerklärung
Wer sich noch immer unsicher ist, ob er alle Punkte berücksichtigt hat, kann sich auch an diversen Mustern für die Datenschutzerklärung orientieren. Achten Sie jedoch auf die Aktualität der Vorlage, damit diese auch wirklich den neuen DSGVO-Anforderungen entspricht. Zusätzlich reicht es leider nicht aus, Muster für Datenschutzerklärungen einfach zu kopieren. Die Inhalte müssen selbstverständlich auf Ihr Unternehmen und die damit verbundenen Tätigkeiten und die Datenverarbeitung abgestimmt werden. Nebenbei hilft auch ein Blick auf die Seriosität des Seitenbetreibers, der die Vorlage zur Verfügung stellt, denn manche dienen lediglich selbst der Sammlung von Daten. Wer auf Nummer sicher gehen will, holt sich professionelle Unterstützung bei einem Anwalt, der sich auf Datenschutz spezialisiert hat.
Die Platzierung der Datenschutzerklärung
Da die Datenschutzerklärung von jeder einzelnen Unterseite Ihrer Website erreichbar sein muss, reicht die Platzierung im Impressum dafür nicht aus. Am besten wird ein Link, der zur Datenschutzerklärung weiterleitet, direkt auf der Startseite platziert. Achten Sie vor allem auch darauf, dass dieser Hinweis bzw. der Link nicht von anderen Werbebannern oder der Information über die Nutzung von Cookies überdeckt wird. Denn auch das könnte eine Abmahnung auslösen.