+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Auf den Punkt gebracht: Datenschutzerklärung selber erstellen

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Prüfen Sie die technischen und inhaltlichen Teile Ihrer Webseite auf Datenschutzrelevanz.
  • Erstellen Sie den allgemeinen Teil der Datenschutzerklärung sowie gängige Inhalte durch einen Generator.
  • Sind aus der Webseitenprüfung noch relevante Inhalte offen, die Sie in der Datenschutzerklärung berücksichtigen müssen, für die der Generator aber kein Ergebnis geliefert hat? Erstellen Sie diese Teile der Datenschutzerklärung selbst.
  • Erstellen Sie die Inhalte nach den Vorgaben der Informationspflicht nach Art. 13 und Art. 14 DSGVO. Die DSE besteht aus einem allgemeinen Teil, der allgemeine Angaben zum Unternehmen und den Rechten der Betroffenen enthält. Im spezifischen Teil wird aufgelistet, für welchen Zweck Daten verarbeitet, gespeichert und ggf. weiter gegeben werden.

Sie haben die perfekte Webseite und müssen nun die zugehörige Datenschutzerklärung erstellen. Denn erst mit der vollständigen Datenschutzerklärung (kurz: DSE) wird Ihre Internetpräsenz DSGVO-konform.
Nichts leichter als das, denken Sie. Im Internet gibt es schließlich eine Vielzahl von Generatoren für die Datenschutzerklärung der Webseite.

Es stimmt, die Generatoren nehmen Ihnen einen großen Aufwand ab. Trotzdem fällt uns immer wieder auf, dass die Datenschutzerklärung für eine individuelle Webseite in den seltensten Fällen komplett durch einen Generator erstellt werden kann.

In diesem Beitrag erklären wir Ihnen, wie Sie vorgehen können, um die vollständige und damit DSGVO-konforme Datenschutzerklärung für Ihre Webseite zu erstellen. Zudem zeigen wir Ihnen, wie Sie fehlende Passagen der Datenschutzerklärung selbst schreiben können.

Bitte beachten Sie, dass es sich bei diesem Beitrag um keine Rechtsberatung handelt.

Wie ist eine Datenschutzerklärung aufgebaut?

Die Passagen einer Datenschutzerklärung folgen immer dem gleichen Inhalt. Dieser entspricht der Informationspflicht nach Art. 13 und Art. 14 DSGVO.
Wie Sie vorgehen können, wenn Sie selber eine DSE erstellen möchten / müssen, erläutere ich weiter unten im Artikel.

Allgemeiner Abschnitt der DSE

Das besondere an der Datenschutzerklärung ist, dass es Punkte gibt, die allgemein für die ganze Datenschutzerklärung gelten. Für diese Punkte reicht es, wenn Sie diese einmal – üblicherweise zu Beginn der Datenschutzerklärung – angeben. Im Detail wird es sich dabei in den meisten Fällen um die folgenden Punkte handeln: 

  1. Kontaktdaten des Verantwortlichen für die Webseite 
  2. Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden)
  3. Nennen der Betroffenenrechte
  4. Bestehen eines Beschwerderechts bei der zuständigen Aufsichtsbehörde

Angaben zu den verschiedenen Verarbeitungen personenbezogener Daten auf der Webseite

Des Weiteren gibt es allerdings Punkte, die sich von Passage zu Passage unterscheiden. Diese müssen daher in jeder Passage individuell beschrieben werden. Dabei wird es sich üblicherweise um folgende Punkte handeln:

  1. Zweck und Rechtmäßigkeit der einzelnen Verarbeitung
  2. Konkrete Empfänger bzw. Kategorien von Empfängern für jeden Verarbeitungsvorgang (soweit zutreffend)
  3. Geplante Übermittlung der Daten in Drittländer oder an internationale Organisationen und dortige Maßnahmen zum Schutz der Daten. Üblich ist es, dazu auf die Datenschutzrichtlinien der jeweiligen Organisation zu verlinken (nur, soweit es zutrifft, dass sie Daten in nicht EU-Länder übermitteln).
  4. Speicherdauer der jeweiligen Daten
  5. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (sofern zutreffend)

Da jede Webseite individuell ist, kann es natürlich vorkommen, dass Punkte aus dieser Auflistung allgemein gültig sind oder umgekehrt. Zum Beispiel kann es für eine Seite zutreffen, dass grundsätzlich keine Übertragung der Daten in Drittstaaten erfolgt. In diesem Fall kann der Punkt also auch nur einmal im globalen Teil der Datenschutzerklärung erwähnt werden.

Sofern ein Punkt nicht zutrifft, kann er der Klarstellung halber erwähnt oder auch weggelassen werden. Beispielsweise wird Profiling in den seltensten Fällen zum Einsatz kommen und kann daher auch weggelassen werden.

Wie erstellen Sie eine DSGVO-konforme Datenschutzerklärung für Ihre Webseite?

Bevor Sie einen Onlinegenerator nutzen, um sich die Datenschutzerklärung erzeugen zu lassen, müssen Sie wissen, was auf Ihrer Webseite „passiert“. Aufgrund der Komplexität der Webseiten werden im Hintergrund Daten übertragen – was Ihnen vielleicht größtenteils gar nicht bewusst ist. Vielleicht nutzt ihr Theme (Design) Webfonts? Vielleicht haben Sie eine Webseitenerweiterung / ein Plugin installiert, das ungefragt noch weitere Funktionen mit sich bringt?

Klingt das für Sie abwegig? Aus unserer Erfahrung ist es das nicht. Wir haben inzwischen schon viele Webseiten von Kunden geprüft und konnten in den allerwenigsten Fällen eine „einfache“ Datenschutzerklärung durch einen Generator verwenden. Damit Sie wissen, worauf Sie bei der Erstellung einer individuellen Datenschutzerklärung achten müssen, stellen wir Ihnen im Folgenden unsere Vorgehensweise vor.

Schritte zur Erstellung einer vollständigen Datenschutzerklärung für die Webseite

  1. Identifizieren der Webseitenerweiterungen / Plugins / Cookies und sonstigen Add-ons
  2. Analysieren der Ergebnisse aus Punkt 1
  3. Prüfen der Inhalte der Webseite
  4. Erfassen der Social Media Profile
  5. Erstellen der Datenschutzerklärung (Generator plus ggf. eigene Inhalte)

Nachfolgend gehe ich auf die Punkte 1 – 4 kurz ein. Den letzten Punkt „DSE Erstellung“ erläutere ich ausführlicher.

Die Punkte 1 – 4 und damit die Vorgehensweise, wie Sie überprüfen können, welche Teile Ihrer Internetpräsenz datenschutzrelevant sind, erläutere ich sehr detailliert in einem eigenen Artikel: „Anforderungen der DSGVO an die Webseite selber prüfen„.

Identifizieren der Webseitenerweiterungen

Identifizieren Sie alle Plugins / Cookies und sonstigen Erweiterungen, die auf Ihrer Webseite laufen. Diese technischen Erweiterungen können entweder direkt installiert oder programmiert sein. Relativ häufig ist es aber auch der Fall, dass eine bekannte Erweiterung mindestens eine oder mehrere Erweiterungen mit sich bringt und Sie gar nichts davon wissen. Trotzdem ist diese „Zusatzerweiterung“ oft datenschutzrelevant. In diesem Fall muss sie in der Datenschutzerklärung berücksichtigt werden.

Zur Identifizierung können Sie Onlinedienste wie z.B. Datasky, BuiltWith oder das Browserplugin uMatrix verwenden. Dies ist nur eine kleine Auswahl ohne Wertung und Werbung. Am besten verwenden Sie mehrere verschiedene Tools, denn aus unserer Erfahrung zeigt jeder Dienst ein etwas anderes Ergebnis an. Ein vollständiges Bild erhalten Sie dann, wenn Sie verschiedene Anbieter nutzen und alle Ergebnisse zusammenführen.

Analysieren der gefundenen Cookies / Plugins und sonstigen Add-ons

Jetzt kennen Sie die technischen Inhalte, die Ihre Website mit sich bringt. Nun geht es an den schwierigeren Teil: Sie müssen identifizieren, welche Teile davon für die Datenschutzerklärung relevant sind. Grundsätzlich geht es darum, ob personenbezogene Daten

a) verarbeitet werden und / oder
b) diese an einen Dritten (z.B. Diensteanbieter) übertragen werden.

Ist dies zutreffend? Dann müssen Sie kurz skizzieren, zu welchem Zweck die personenbezogenen Daten verarbeitet oder übertragen werden.

Für „bekannte“ Add-ons zur Webseite ist die Beschreibung des Zwecks nicht mehr nötig. Diese Information liefert Ihnen ein guter Datenschutz-Generator aus dem Internet.

Handelt es sich um Cookies oder Plugins, die Sie nicht selbst in die Webseite eingebunden haben, ist es manchmal schwierig, diese Frage zu beantworten. Auf diese Problematik stoßen wir relativ häufig, wenn wir Kundenseiten prüfen. Ohne diese Information, was genau eigentlich auf der Webseite passiert, ist es aber wiederum nicht möglich, eine rechtskonforme Datenschutzerklärung zu erstellen.

Einen Vorschlag, wie Sie die erfassten Inhalte bewerten können, finden Sie im Beitrag zum Webseitencheck.

Inhalte der Webseite auf Datenschutzrelevanz prüfen

Die erste Etappe ist geschafft – der technische Teil ist soweit erledigt. Nun geht es daran, die Inhalte zu sichten. Für die Datenschutzerklärung ist es nötig, folgende Inhalte der Webseite zu berücksichtigen:

  • Formulare (welche Formulare, Zweck und benötigte Daten)
  • Newsletterversand / Newsletteranmeldungen
  • Affiliate-Angebote
  • Externe Medien (z.B. Videos auf YouTube, Podcasts…) – falls diese nicht bereits über die technische Analyse identifiziert wurden
  • Content Delivery Networks (CDN) – wahrscheinlich wurden auch diese bereits im technischen Analyseverfahren gefunden

Für die DSGVO-konforme Webseite sind noch weitere Punkte zu berücksichtigen. Diese finden Sie allerdings im separaten Artikel „Webseitencheck„. Für die Datenschutzerklärung reicht erst einmal diese Übersicht.

Social Media Profile

In eine vollständige DSE gehört auch die Nennung der verwendeten Unternehmensprofile in den sozialen Netzen. Listen Sie alle Unternehmensseiten und Fanpages, die Sie betreiben:

  • Facebook
  • YouTube-Kanal
  • Twitter
  • Instagram
  • Pinterest
  • LinkedIn
  • Xing

Datenschutzerklärung generieren

Nun haben Sie die aufwändige Vorarbeit abgeschlossen. Der nächste Punkt ist wieder einfacher.

Wählen Sie einen Datenschutzgenerator aus und lassen Sie sich die Datenschutzerklärung generieren. Es gibt inzwischen eine Vielzahl an Generatoren im Internet. Manche sind für private Webseiten sogar kostenlos. Eine Produktempfehlung möchten wir an dieser Stelle nicht geben, allerdings freuen wir uns natürlich über Ihr persönliches Feedback in den Kommentaren.

Wenn Sie nun den Generator für die Datenschutzerklärung starten, machen Sie als Erstes allgemeine Angaben zu Ihrem Unternehmen. Dies sollte einfach zu erledigen sein.

Für die detaillierten Inhalte müssen Sie nun auswählen, was für Ihre Webseite zutrifft. Was haben Sie installiert oder programmiert?
Hier zahlt es sich aus, wenn Sie die Vorarbeit gut dokumentiert haben. Aktivieren Sie die Auswahlfelder für alle Inhalte, die bei Ihnen auf der Webseite vorkommen. Aktivieren Sie zum Beispiel Google Maps oder OpenStreet Maps, wenn Sie den Dienst eingebunden haben. Wählen Sie Google Analytics oder Matomo, für den Fall, dass Sie eines der genannten Statistiktools einsetzen.

Gehen Sie so den Generator Punkt für Punkt durch. Markieren Sie in Ihrem eigenen „Analysebericht“ die Inhalte, die der Generator in der Datenschutzerklärung abdeckt.

Am Ende haben Sie im besten Fall alle identifizierten Cookies und sonstigen Webseitenerweitungen im Generator gefunden. Auch Inhalte wie Formulare und Newsletter sind abgedeckt. Perfekt! In diesem Fall kopieren Sie die Datenschutzerklärung aus dem Generator und fügen Sie sie in Ihrer Webseite auf einer eigenen Seite „Datenschutz“ ein.

Wurden nicht alle identifizierten Punkte durch den DSE-Generator abgedeckt? Dann müssen Sie ran: Erstellen Sie die fehlenden Absätze selbst. Und keine Sorge, das ist gar nicht so schwer, wie es vielleicht auf den ersten Blick scheint.

Eigene Passagen für die Datenschutzerklärung schreiben

Nun geht es also ans Eingemachte. Wie schon oben erläutert, besteht die DSE aus einem allgemeinen Teil und den spezifischen Inhalten für jedes Verfahren.
Auf den allgemeinen Teil möchte ich an dieser Stelle nicht detailliert eingehen. Eine detaillierte Anleitung finden Sie im Beitrag zur Informationspflicht. Wahrscheinlich wird Ihnen aber der Datenschutz-Generator diesen allgemeinen Teil bereits erstellt haben.

Beispiel für eine Passage der Datenschutzerklärung

Lassen Sie uns ein spezifischen Verfahren anhand eines Beispiels beschreiben. Wir nutzen den Bewertungsdienst „ProvenExpert“. Erstellen wir die Passage für ProvenExpert gemeinsam.

Zweck / WeiterleitungUnsere Webseite nutzt ein Plugin zur Erfassung von Bewertungen. Sie können eine Bewertung zur Dienstleistung von Regina Stoiber abgeben. Die Daten werden beim Anbieter ProvenExperts.com, Expert Systems AG, Quedlinburger Straße 1, 10589 Berlin gespeichert.  Anhand Ihrer Bewertung können wir die Qualität unserer Dienstleistung und Angebote optimieren. Andere Nutzer profitieren von Ihren Bewertungen.
DatenkategorienFür die Bewertung wird aus Qualitätsgründen Ihre E-mail Adresse gespeichert, die nicht öffentlich angezeigt wird. Weitere Informationen über Sie sind optional.
RechtsgrundlageDie Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
SpeicherdauerDie Daten bleiben bis zum Widerruf gespeichert.
Weitere Hinweise zum DatenschutzDie Datenschutzerklärung von ProvenExperts finden Sie unter folgendem Link: https://www.provenexpert.com/de-de/datenschutzbestimmungen/

Erläuterungen zur Datenschutzerklärung

Zweck

Beschreiben Sie in Kürze so gut wie möglich, warum Sie die Daten verarbeiten. Zu welchem Zweck erheben und speichern Sie die Informationen?

Weitergabe der Daten / Übermittlung in ein Drittland

Wenn die Daten an einen Dritten weitergegeben werden, muss dies konkret angegeben werden. Sie sollten den Empfänger der Daten mit Anschrift angeben. Der Empfänger der Daten kann ein Dienstleister sein, der – wie in diesem Fall – den Webdienst zur Verfügung stellt. Es kann sich aber auch um einen Empfänger handeln, der für Sie die weitere Bearbeitung der Daten übernimmt.

Übermittlung an ein Drittland trifft zu, wenn der Empfänger der Daten nicht in der EU ansässig ist. In diesem Fall sollten Sie neben den Kontaktdaten noch angeben, wie Sie sicherstellen, dass der Empfänger die Anforderungen des Datenschutzes einhält.

Erfolgt keine Weitergabe der Daten, egal ob in der EU oder außerhalb, dann können Sie diesen Punkt auch komplett weg lassen. Sie brauchen nicht explizit anzugeben, dass keine Weitergabe erfolgt. Es ist aber auch nicht falsch, wenn Sie dies angeben.

Rechtsgrundlage

Die möglichen Rechtsgrundlagen werden in Artikel 6 (1) DSGVO genannt. Mehr dazu und eine ausführliche Erklärung zu den Rechtsgrundlagen liefert Ihnen der Beitrag zur „Einwilligung„. Die wesentlichen Rechtsgrundlagen, die für Datenschutzerklärungen auf Webseiten relevant sein können, sind:

  • Artikel 6 (1) lit. a – Einwilligung
    Die Einwilligungen nehmen aufgrund des aktuellen EuGH Urteils (vom 1.10.19) zu. War bisher Google Analytics zur Erfassung der Statistiken aufgrund eines berechtigten Interesses in Ordnung, ist es nun eine freiwillige Einwilligung. Eine Einwilligung zieht immer ein Widerspruchsrecht nach sich. Das heißt, stellen Sie sicher, dieses Widerspruchsrecht auch zu gewähren (meist durch ein techn. Opt-out in der Datenschutzerklärung).
  • Artikel 6 (1) lit. b – Vertrag oder vorvertragliche Maßnahme
    Wenn es einen internen Bereich gibt, dann kann dieser meistens nur durch einen Kaufvertrag oder Anerkennung von AGBs betreten werden. Diese wäre dann eine vertragliche Maßnahme. Auch Kontaktformulare können darunter fallen.
  • Artikel 6 (1) lit. f – aufgrund eines berechtigten Interesses
    In diesem Fall müssen Sie zusätzlich erklären, worin genau das berechtigte Interesse des Verantwortlichen liegt. Beispielsweise in der fehlerfreien und optimierten Darstellung der Webseite.

Siehe auch Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien Seite 8.

Speicherdauer

Hier muss angegeben werden, wie lange die Daten aufbewahrt werden. Bei der Einwilligung hat man meistens die Speicherfrist bis auf Widerruf. Bei anderen Rechtsgrundlagen muss in der Regel eine Frist genannt werden. Zum Beispiel könnte es heißen „im Rahmen der gesetzlichen Aufbewahrungsfrist“.

Profiling und automatisierte Entscheidungsfindung

In den seltensten Fällen wird ein Profiling oder eine automatische Entscheidungsfindung stattfinden. In diesem Fall können Sie den Punkt weglassen. Ansonsten müssen Sie beschreiben, wie die Entscheidungsfindung / Profiling abläuft und welche Konsequenzen dies für den Betroffenen hat.

Weitere Hinweise zum Datenschutz

Haben Sie die Möglichkeit, auf weitere Datenschutzerklärungen oder Hinweise des Dienstanbieters zu verweisen, dann nutzen Sie dies.

Fazit

Die Schwierigkeit einer rechtskonformen Datenschutzerklärung liegt nicht in der Erstellung selbst, sondern in den Vorarbeiten. Um eine vollständige DSE zu haben, müssen Sie Ihre Webseite bis ins letzte Detail kennen.

Die Datenschutzerklärung selbst zu erstellen ist weniger schwierig. Nutzen Sie einen Generator und ergänzen Sie fehlende Punkte. Orientieren Sie sich an den oben genannten Punkten, die in den Passagen enthalten sein müssen bzw. welche optional sind.

Hilfe zur Erstellung einer Datenschutzerklärung

Gerne unterstützen wir Sie bei der Analyse Ihrer Webseite und / oder der Erstellung der Datenschutzerklärung. Kontaktieren Sie uns dazu gerne unverbindlich per Mail oder Telefon.

Ihre Erfahrungen mit Datenschutzerklärung

Wie sind Ihre Erfahrungen mit der Erstellung einer vollständigen Datenschutzerklärung? Schreiben Sie uns doch einen Kommentar zum Artikel.

FAQs

Wohin gehört eine Datenschutzerklärung?

Die Datenschutzerklärung muss – genau wie das Impressum – leicht auffindbar sein. Was genau das bedeutet, sehen die Gerichte unterschiedlich. Wir empfehlen eine eigene Seite „Datenschutzerklärung“, die von jeder anderen Seite aus mit einem Klick erreichbar ist. Möchten Sie die Datenschutzerklärung trotzdem zusammen mit dem Impressum anbieten? In diesem Fall muss die Seite bzw. der Link darauf auch so heißen: „Impressum und Datenschutzerklärung“.

Außerdem ist es wichtig, dass Sie die Datenschutzerklärung auch für Mobilgeräte einwandfrei anzeigen lassen. Diese Anforderung können Sie einfach testen. Genauso wichtig ist in diesem Zusammenhang, dass der Link zur Datenschutzerklärung (und dem Impressum) nicht verdeckt wird z.B. vom Cookiebanner.

Was muss in der Datenschutzerklärung erklärt werden?

Eine Datenschutzerklärung folgt den Vorgaben der Artikel 13 und Artikel 14 DSGVO. Darin gibt es die Vorgabe für einen allgemeinen Teil. Dieser enthält Informationen zum Verantwortlichen (Webseitenbetreiber und Nennung des Datenschutzbeauftragten), zu den Rechten der Betroffenen und dem Beschwerderecht der Aufsichtsbehörde.

Im zweiten und detaillierten Teil geht es an die Inhalte der Website. Verfassen Sie konkret eine Passage zu jedem Vorgang auf der Webseite, der Daten der Seitenbesucher verarbeitet – beispielsweise Kontaktformulare oder Newsletter, aber auch auf der Seite eingebundene Plugins, Addons, Trackingpixel und sonstigen Webseitenerweiterungen.

Diesen Beitrag teilen