Die Datenschutzerklärung – so sollte sie aussehen

Valide Datenschutzbestimmungen müssen den Vorgaben entsprechen

Für Angebote im Internet ist eine Datenschutzerklärung unerlässlich

Für Angebote im Internet ist eine Datenschutzerklärung unerlässlich

„Unsere Daten müsst ihr raten!“ – was bis vor einigen Jahren noch ein gängiger Demospruch war, verliert heutzutage zunehmend an Bedeutung. Durch das Internet hinterlassen Benutzer tagtäglich Unmengen an elektronischen Informationen, bewusst und unbewusst.

Damit kein Unrechtsgefälle entsteht, gilt es, per Rechtsprechung entsprechende Datenerhebung transparent darzustellen. Eine Maßnahme ist die pflichtmäßige Datenschutzerklärung.

Gleichwohl sie quasi ein Ausdruck des individuellen Rechtes auf Information ist, empfinden viele die Datenschutzerklärung als bürokratisches „Kleingedrucktes“ und messen ihr keine große Bedeutung bei. Für Dienstleister wiederum sieht die Sache anders aus: Diese müssen mit offenen Karten spielen. Bei der Formulierung einer validen Datenschutzerklärung geraten deshalb viele ins Wanken.

Der nachfolgende Ratgeber gibt Ihnen deshalb einen umfassenden Überblick über das Thema, seine rechtlichen Dimensionen und worauf Sie als Provider bei der Verfassung einer korrekten Datenschutzbestimmung achten müssen. Zudem finden Sie am Ende des Textes die Komplettversion einer beispielhaften Datenschutzerklärung als Muster, welches Sie kostenlos downloaden können.

Spezifische Ratgeber zur Datenschutzerklärung

Zum Begriff: Was ist eine Datenschutzerklärung überhaupt?

In einer Datenschutzerklärung müssen Nutzer verständlich darüber aufgeklärt werden, welche ihrer Daten erhoben und wie diese verwendet werden.

Andere Begriffe sind Datenschutzbestimmung, Datenschutzhinweis oder englisch Privacy Police. Dabei handelt es sich nicht um eine Empfehlung; die Datenschutzerklärung ist für Gewerbetreibende verpflichtend.

Eine Datenschutzerklärung und die Nutzungsbedingungen (= allgemeine Geschäftsbedingungen) eines Services sind nicht dasselbe! Auch wenn diese häufig gemeinsam erwähnt werden und sich gewissermaßen auch gegenseitig bedingen, müssen sie technisch und rechtlich getrennt voneinander betrachtet werden.

Die allgemeinen Geschäftsbedingungen sind vertragliche Vereinbarungen bei der Nutzung eines Services, welche vor allem bei massenhaften Verträgen zum Einsatz kommen – so wie bspw. bei vielen Online-Angeboten der Fall ist. Die Datenschutzerklärung ist die gesetzlich vorgeschriebene Offenlegung der Datenerhebung durch die Benutzung eines Services.
Die Datenschutzerklärung und die Nutzungsbedingungen sind nicht dasselbe

Die Datenschutzerklärung und die Nutzungsbedingungen sind nicht dasselbe

Gerade online verhält es sich oft so, dass vor der Nutzung durch Anklicken eines Feldes bestätigt werden muss, die AGBs und die Datenschutzerklärung gelesen zu haben. Oftmals definieren Provider bereits die Nutzung ihres Services als eine Einverständniserklärung der AGBs. Wenn Betreiber Daten erheben, dann müssen Nutzer de facto in die AGBs einwilligen – nicht jedoch der Datenschutzerklärung. Diese ist ja schließlich die Auflage einer Selbstauskunft seitens des Dienstleisters und braucht in dem Sinne keine Bestätigung durch den Benutzer.

Provider möchten mit dieser doppelten Bestätigung oftmals abgesichert sein. Im Falle einer Klage könnte dann nämlich darauf hingewiesen werden, dass der Nutzer der Datenschutzerklärung zugestimmt hat und über entsprechende Vorgänge Bescheid wissen müsste.

Wann muss eine solche Erklärung formuliert werden?

Wie sich aus der Definition ableiten lässt, ist eine Datenschutzerklärung immer dann Pflicht, wenn personenbezogene Daten erhoben werden. Das betrifft dementsprechend auch alle Medien: So muss eine Datenschutzerklärung für eine App genauso formuliert werden wie in einem schriftlichen Vertrag. Egal ob analog oder elektronisch, Behörden und Dienstleister müssen immer über die Art und Zwecke ihrer Datenerhebung Auskunft geben – dies ist ein essentieller Bestandteil des Datenschutzes in einem Unternehmen.

Von besonderer Bedeutung ist die Datenschutzerklärung im Internet – sowohl auf Seiten der User als auch auf Seiten der Provider. Auch wenn sich rechtlich bzgl. einer Kontrolle des Internets viel tut, ist das World Wide Web in vielerlei Hinsicht nach wie vor zu großen Teilen ungeregelt. Für Provider wird die Formulierung einer Datenschutzerklärung für eine Website oft zur Herausforderung. Zum einen gibt es eine ganze Reihe an Auflagen zu beachten; zum anderen sind viele Generierungsprozesse und Datenübermittlungen automatisiert und teilweise selbst für Fachkundige schwer nachzuvollziehen. Die Tatsache, dass innerhalb der Länder unterschiedliche Vorgaben zur Handhabe von Daten existieren, verkompliziert die Sache noch zusätzlich.

Die Datenschutzerklärung: was das Gesetz besagt

Die Verpflichtung zu einer Datenschutzerklärung fußt auf dem Schutz personenbezogener Daten, welche sich wiederum aus den Grundrechten ableitet. Bürgerinnen und Bürger sollen vor einem Ausspionieren geschützt werden, die Privatsphäre als zu wahrendes Gut gilt es zu allen Zeiten zu achten. Die Legitimation entspringt also den Persönlichkeitsrechten. Nichtsdestotrotz muss die Datenschutzerklärung durch ein konkretes Gesetz verankert werden.

Bisher galt das Telemediengesetz

Das Telemediengesetz, kurz TGM, wurde im März 2007 rechtskräftig und ist dementsprechend noch verhältnismäßig jung. Durch seine Verabschiedung wurden die einstmals getrennten Teledienste und Mediendienste durch eine einheitliche Gesetzgebung rechtlich miteinander verbunden. Unter den Begriff „Telemedien“ fallen dabei alle elektronischen Kommunikations- und Informationsdienste, also Internetseiten, Suchmaschinen, Messenger, E-Mail-Betreiber und auch Vergleichsportale – also im Grunde genommen alles, was im Netz angeboten wird. Bisher nicht vom TMG betroffen sind Streaming-Dienste und Internettelefonie. Das Telemediengesetz ergänzt zudem das Bundesdatenschutzgesetz (BDSG).

Die Pflicht einer Datenschutzerklärung ist bis dato im § 13 TMG „Pflichten des Dienstanbieters“ festgelegt. Dort heißt es im Absatz 1 u.a.:

Die Datenschutzerklärung ist im Gesetz festgehalten - momentan noch im TMG

Die Datenschutzerklärung ist im Gesetz festgehalten – momentan noch im TMG

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG […] in allgemein verständlicher Form zu unterrichten, […].

Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

Die Datenschutzerklärung kann also momentan als eine formale Realisierung der EU-Datenschutzrichtlinie begriffen werden, welche durch die DSGVO vollständig abgelöst wird.

In den Jahren seiner Rechtskraft stand das TMG wiederholt in der Kritik, vor allem wegen des darauffolgenden Paragraphen Nummer 14: Dieser bestimmt, dass Webseitenbetreiber unter Umständen dazu verpflichtet sind, Nutzerdaten an Geheimdienste weitergeben zu müssen. Abgesehen davon sind z.B. die Anforderungen, was eine Datenschutzerklärung angeht, in vielerlei Hinsicht doch recht vage – was dazu führt, das entsprechende Datenschutzerklärungen in vielen Fällen nicht konkret bzw. sehr verallgemeinernd im Wortlaut sind.

Seit Mai 2018 ist die DSGVO anzuwenden

Die Datenschutz-Grundverordnung der Europäischen Union ist eine Gesetzesnovelle, welche am 4. Mai 2016 veröffentlich wurde und die seit dem 25. Mai 2018 offiziell in allen Mitgliedstaaten gleich nationalem Recht anzuwenden ist.

Die relativ große Zeitspanne wurde eingeräumt, um den betroffenen Anbietern genug Zeit zu geben, die Richtlinie umzusetzen. Das ist auch nötig; die DSGVO wirft eine Menge an alten Regeln über den Haufen, auch was die Datenschutzerklärung angeht.

Anders als eine Richtlinie, deren Umsetzung großteils Ländersache ist, gilt die DSGVO unmittelbar für alle betroffenen Staaten. Webmaster und Unternehmer müssen diesen gesetzlichen Auflagen entsprechen, wenn sie keine Sanktionen riskieren wollen!
Was bestimmt die DSGVO für die Datenschutzerklärung?

Im neuen Gesetzestext legt u. a. der Artikel 13 mit dem Titel „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ die Grundlage für eine verpflichtende Datenschutzerklärung. Dieser fällt unter das Kapitel „Rechte der betroffenen Person“; die neuen Auflagen sind umfangreicher und konkreter als das TMG.

In der DSGVO ist ein Satz an Informationen festgelegt, welcher dem Nutzer in einer Datenschutzerklärung grundsätzlich und ohne Ausnahme mitgeteilt werden müssen. Dazu zählen zum einen Eckdaten über die Datenaufzeichnung selbst als auch die Namen und Ziele der Datenverarbeitenden. Dies umfasst:

Eine Standard-Datenschutzerklärung muss eine ganze Menge Informationen aufführen

Eine Standard-Datenschutzerklärung muss eine ganze Menge Informationen aufführen

  • Die Dauer der Speicherung bzw. die Kriterien für die Festlegung der Dauer
  • Ob eine Art von Profiling oder automatisierte Entscheidungsfindung zur Anwendung kommt, ggf. wie diese arbeitet und was damit bezweckt werden soll
  • Konkrete Angaben zur Notwendigkeit der Erhebung von personenbezogenen Daten
    Die Datenschutzerklärung muss Auskunft erteilen, ob die Datenerhebung gesetzlich oder vertraglich vorgeschrieben ist. Dazu gehört auch eine Aussage darüber, ob eine betroffene Person überhaupt ihre Daten preisgeben muss und auch, welche Folgen eine Nichtbereitstellung nach sich ziehen würde.
  • Der Name des Verantwortlichen, dessen Kontaktdaten und ggf. dessen Stellvertreter
    Damit ist nicht (zwangsläufig) der Geschäftsführer gemeint, sondern diejenige Person, Behörde, Einrichtung oder Stelle, welche über die Verarbeitung von personenbezogenen Daten entscheidet. Das können je nach Geschäftsmodell unterschiedliche Posten sein: die IT, die Personalabteilung, einzelne Sachbearbeiter, öffentliche Verwaltungsstellen.
  • Die Kontaktdaten des Datenschutzbeauftragten, sofern vorhanden
    Das Berufsbild des Datenschutzbeauftragten hat sich erst in jüngster Zeit herausgebildet. Die Datenschutzerklärung stellt nämlich nur einen Teilbereich des vorgeschriebenen Datenschutzes innerhalb von Unternehmen dar. Um diesen gesetzeskonform zu gewährleisten, werden oftmals zertifizierte, externe Datenschutzbeauftragte angestellt. Diese sind nicht nur für eine Umsetzung und regelmäßige Kontrolle zuständig, sondern auch Ansprechpartner für Arbeitnehmer, sollten diese Fragen und Anliegen bzgl. des Datenschutzes haben.
  • Die Zwecke der Datenverarbeitung und wie deren Verarbeitung rechtlich legitimiert ist
    Serviceleistende und Behörden müssen in der Datenschutzerklärung genau darlegen, für welchen Zweck die betroffenen Daten erhoben werden und welche Gesetzesgrundlage dafür greift – die Rechtmäßigkeit einer Verarbeitung ist in Artikel 6 der DSGVO festgehalten.
    Möchte der Datenverarbeiter die Daten für einen anderen Zweck weiter verarbeiten als den, für welchen Sie ursprünglich erhoben wurden, dann sind auch über diesen Zweck entsprechende Auskünfte zu erteilen.
  • Insofern Daten an Dritte weitergegeben werden: wer die Empfänger sind und die Ziele dieser dritten Parteien
    Personenbezogene Daten dürfen dann an dritte Instanzen weitergegeben werden, wenn die Interessen der Datenerheber nicht den Schutz des Einzelnen überwiegen. Vereinfacht gesprochen geht es darum, dass eine Weitergabe von Daten nur dann gestattet ist, wenn es dem Wohl der Person dient und die Grundfreiheiten nicht eingeschränkt werden. Ist dies der Fall, dann muss die Datenschutzerklärung neben den eigenen Zielen auch die Gründe der Datenerhebung durch Dritte aufführen. Das Verkaufen von personenbezogenen Daten an Dritte zu Gewinnzwecken ist verboten.
Diese Regelung gilt nicht für Behörden – für deren Aufgabenerfüllung ist eine Weitergabe von Daten unvermeidlich.
Es gibt keine allgemeine Datenschutzerklärung in dem Sinne - Sie müssen präzise sein

Es gibt keine allgemeine Datenschutzerklärung in dem Sinne – Sie müssen präzise sein

  • Wenn personenbezogene Daten an ein drittes Land oder eine internationale Organisation weitergegeben werden: Angemessenheitsbeschluss (die EU-Kommission muss im Regelfall bestätigen, dass das betroffene Land einen ausreichenden Datenschutz bietet)
    Verlassen die betroffenen Daten die Ländergrenzen, dann hat die Datenschutzerklärung ebenfalls zu beinhalten, was der Zweck dieser Übermittlung ist, wer im Ausland dafür zuständig ist und wie eine entsprechende Kopie zu erhalten ist. Außerdem muss darauf hingewiesen werden, wo im Ausland eine Kopie der entsprechenden Daten zu erhalten ist
  • Aufzählung der Nutzerrechte, dazu zählen:
  1. Widerspruchsrecht/ Widerrufsrecht
  2. Recht auf Auskunft: Nutzern muss auf Nachfrage eine umfassende Auskunft über ihre Daten erteilt werden
  3. Recht auf Berichtigung/Löschung von Daten/ Einschränkung der Verarbeitung
  4. Beschwerderecht bei einer Aufsichtsbehörde
  5. Recht auf Datenübertragbarkeit: Dies meint, dass natürliche Personen den Transfer ihrer Daten von einer berechtigten Stelle auf die andere verlangen dürfen

Zusammengefasst bedeutet dies: Laut DSGVO muss die Datenschutzerklärung ausnahmslos alle Informationen über die eigene Datenerhebung transparent machen und diese verständlich vermitteln.

Die Folgen der Vorschriftsmissachtung

Hosts, Arbeitgeber und Dienstanbieter sind also in die Pflicht genommen und werden kontrolliert. Zudem muss rechtzeitig eine Anpassung der eigenen Datenschutzerklärung erfolgen, um den neuen Vorschriften gerecht zu werden. Kommt es zur Verletzung derselben, dann wird dies entsprechend sanktioniert.

Achtung Abmahnung! Eine fehlende Datenschutzerklärung verursacht Kosten

Achtung Abmahnung! Eine fehlende Datenschutzerklärung verursacht Kosten

Dabei ist die Abmahnung bzgl. mangelhafter Datenschutzerklärung üblich. Diese ist ein Rechtsmittel, welches von anderen Anbietern genutzt werden kann. Einfach gesprochen: Fällt jemandem abmahnfähigen auf, dass Ihre Datenschutzerklärung nicht den Vorlagen entspricht, dann kann diese Person eine offizielle Abmahnung gegen Sie erwirken.

Abmahnungen können dabei sowohl von anderen Mittbewerbern als auch von Wettbewerbsverbänden und vom Verbraucherschutz ausgesprochen werden. Diese belaufen sich in der Regel auf eine Höhe von etwa 200 Euro, welche von dem Abgemahnten zu tragen sind.

Das entsprechende Geld ist jedoch nicht etwa der Schadensersatz; denn wie sich der Schaden einer fehlenden Datenschutzerklärung konkret bemisst, kann nur schwer nachvollzogen werden. Diese Geldbuße sind die Kosten der Abmahnung selbst, welche der Betroffene begleichen muss.

Diese Sanktionen betreffen also lediglich die Formalität der Datenschutzerklärung selbst. Greifen Dienstleister auf illegale Weise Daten ab oder verkaufen diese, sind die entsprechenden Bußen natürlich um einiges strenger. Die Sache ist dann ja nicht mehr nur die missachtete Auskunftspflicht, sondern die Verletzung des Datenschutzes.

Wie Sie eine gute Datenschutzerklärung erstellen: Tipps für den Start

Nutzer sollen also so ausführlich wie nur möglich über Datenerhebung informiert werden – so weit, so gut. Doch was muss nun alles aufgelistet werden? Wie starte ich am besten?

Gleichwohl strenge Vorgaben existieren, ist eine Datenschutzerklärung in dem Sinne nicht genormt. Wichtig ist lediglich, dass alle relevanten Informationen ausnahmslos, ausführlich und wahrheitsgetreu aufgeführt sind. Doch schon vor der eigentlichen Ausformulierung sollten Sie einiges beachten.

Bevor Sie Ihre persönliche Datenschutzerklärung verfassen, ist es zwingend notwendig, dass Sie sich mit der technischen Funktionsweise Ihres eigenen Services genau auseinandersetzen. Schließlich müssen Sie in der Lage sein, Auskunft zu geben.

Der Ton macht die Musik – zum Schreibstil

Bevor Sie richtig loslegen, sollten Sie erst einmal einige allgemeine Hinweise beherzigen:

Viele Dienstleister sind unsicher, wenn es darum geht, eine valide Datenschutzerklärung zu erstellen

Viele Dienstleister sind unsicher, wenn es darum geht, eine valide Datenschutzerklärung zu erstellen

Oberste Regel: Verständlichkeit! Die Datenschutzerklärung soll Nutzer aufklären. Wählen Sie deshalb möglichst einfache Formulierungen. Vermeiden Sie Schachtelsätze, zu viele technische Begriffe und umständliche Beschreibungen.

Anrede: Hier sollte die „Wir“-Form gewählt werden: „Uns“, „Das Team von“ und ähnliches. Sofern es sich nicht um die Datenschutzerklärung für eine privat Seite handelt, spricht der Text ja im Namen des gesamten Teams. Zudem sollten Nutzer grundsätzlich gesiezt werden, da die ganze Sache sonst unprofessionell wirkt.

Benutzerfreundlichkeit:
Auch eine so formelle Sache wie eine Datenschutzerklärung sollte so ansprechend wie möglich gehalten werden. Dazu zählt zum einen natürlich ein „aufgeräumtes“ Design, schließlich ist der Text verhältnismäßig lang. Teilen Sie diesen klar durch Überschriften und erkennbare Abschnitte ein. Die Schriftart sollte nicht zu klein sein, entsprechende Hyperlinks müssen funktionieren und ggf. erneuert werden, sollten sich Namen oder Adressen von Domains ändern.

Den richtigen Tenor wählen: Gerade bei so einem brandaktuellen und hochsensiblen Thema wie Datenschutz sollten bei der Verfassung einer Datenschutzerklärung die richtigen Worte gewählt werden. Bedenken Sie: Niemand lässt sich gerne ausspionieren! Wenn Sie also über Aufzeichnungsprozesse schreiben, tun Sie das mit dem notwendigen Fingerspitzengefühl.

Wo die Datenschutzklärung platziert werden sollte

Bei vielen Seitenbetreibern ist es nach wie vor üblich, die Datenschutzerklärung im Impressum anzuhängen. Dies befindet sich in der Regel in der Fußzeile der Seite und ist dementsprechend für Benutzer auch schnell erreichbar.

Um ganz sicher zu gehen, sollten Impressum und Datenschutzerklärung jedoch in einzelne Kategorien getrennt werden. Dementsprechend sollte die Datenschutzerklärung namentlich auch als solche ausgewiesen sein.

Hier kann sich als Faustregel gemerkt werden: Nutzer sollten von jeder Kategorie der Webseite nie mehr als zwei Klicks benötigen, um zu der Datenschutzerklärung zu gelangen.

Beim Aufbau eignen sich einzelne Segmente

Der konkrete Inhalt einer Datenschutzerklärung wird in der Regel in einzelne Teilabschnitte gegliedert, welche bausteinartig aufeinander folgen. Unternehmer sind in die Pflicht genommen, konkret und umfassend den kompletten Umfang der Datenerhebung offen zu legen. Die geltenden Vorgaben sind zwar sehr detailliert; dennoch ist das auch vorteilhaft, da sich Webmaster und Unternehmer bei der Formulierung einer Datenschutzerklärung stringent an den einzelnen Listenpunkten abarbeiten können. Wie Sie diese anordnen, bleibt grundsätzlich Ihnen selbst überlassen.

Die Datenschutzvereinbarung für Dienstleister: Muster und Hinweise

Die jeweilige Vorlage für die Datenschutzerklärung ist dem erklärenden Text einzeln angefügt. Beachten Sie: Bei der Datenschutzerklärung handelt es sich um eine rechtliche Vorgabe, dementsprechend sorgfältig sollte sie auch erstellt werden. Selbstverständlich können Sie die nachfolgenden Muster für Ihre Datenschutzerklärung als eine Orientierung benutzen. Diese stellen jedoch keinen Anspruch auf Vollständigkeit! Verwenden Sie die Vorlagen also bitte nicht ungeprüft und konsultieren Sie zur Sicherheit einen Anwalt.

Eine Datenschutzerklärung kann zum Beispiel mit einer allgemeinen Erläuterung beginnen

Eine Datenschutzerklärung kann zum Beispiel mit einer allgemeinen Erläuterung beginnen

1. Allgemeine Informationen zur Datenschutzerklärung

Es empfiehlt sich, mit einer Erläuterung zu der Datenschutzerklärung selbst einzusteigen. Den meisten Nutzern dürfte nämlich nicht geläufig sein, was es genau damit auf sich hat. Dies kann auch gern mit dem Hinweis versehen werden, dass Ihnen der Datenschutz Ihrer User am Herzen liegt.

Dieser Abschnitt ist nicht zwangsläufig verpflichtend, zeigt jedoch Bestreben Ihrerseits und trägt außerdem zur Verständlichkeit der Sache bei – welche ja laut Vorschriften unbedingt gegeben sein muss. Hier kann auch der Hinweis formuliert werden, dann ein vollständiger Datenschutz im Internet nicht garantiert werden kann, insofern sie dies erwähnen möchten.

Hier geht es um allgemeine Informationen zur Datenschutzerklärung, weshalb die Vorlage bis auf Ihre Kontaktdaten unverändert übernommen werden kann.

Grundlegendes

Der Schutz Ihrer Privatsphäre ist uns ein wichtiges Anliegen. Deshalb möchten wir Sie bitten, die nachfolgende Zusammenfassung über die Datenerhebung durch unseren Webdienst www.musterseite.de aufmerksam zu lesen.

Die hier aufgeführte Datenschutzerklärung soll über die Art, den Umfang und den Zweck der Erhebung personenbezogener Daten durch den Websitebetreiber (Ihr Name) aufklären. Die Datenerhebung und -weitergabe entspricht den Anforderungen der DSGVO und des BDSG. Änderungen und entsprechende Aktualisierungen der Datenschutzerklärung sind nicht auszuschließen, weshalb wir Ihnen empfehlen, diese Datenschutzerklärung regelmäßig zur Kenntnis zu nehmen.

Wir versichern, dass diese Daten ausschließlich dem Funktionieren, der statistischen Auswertung und der Verbesserung unseres Angebotes dienen. Laut geltenden Vorschriften werden diese Daten nur für die Zeit gespeichert, wie es für die beschriebenen Zwecke notwendig ist. Ausnahmen gelten, wenn eine längere Speicherung durch die DSGVO vorgesehen ist. Die gesetzlich geltenden Löschvorschriften werden eingehalten.

Wir nehmen den Schutz Ihrer Daten ernst und behandeln diese vertraulich. Sollten Sie dennoch Anliegen oder Fragen bzgl. der Erhebung Ihrer Daten haben, finden Sie am Ende des Textes die entsprechenden Kontaktdaten zuständiger Ansprechpartner.

2. Welche Daten erhoben werden und wie lange Sie diese speichern

Als nächstes sollte grundsätzlich erläutert werden, welche personenbezogenen Daten Sie überhaupt abgreifen und vor allem, weshalb. Auch hier helfen allgemeine Erläuterungen dazu, was überhaupt als „personenbezogene Daten“ verstanden wird. Erhebt Ihr Service solche Informationen, dann kann für die entsprechende Datenschutzerklärung der Unterpunkt „Personenbezogene Daten“ in diesem Muster erweitert oder gekürzt werden – je nach dem, was auf Ihren Dienst zutrifft.

Personenbezogene Daten

Diese Website erhebt und nutzt personenbezogene Daten. Die hier vorgenommene Datenerhebung entspricht einem berechtigten Interesse laut Art.6 Abs. 1 Buchstabe f der DSGVO. Zudem sind wir für die Bereitstellung unseres Services zu Teilen auf Informationen unserer Nutzer angewiesen.

Daten werden nur in dem Umfang erhoben, verwertet und an Dritte weitergeleitet, wie dies im gesetzlichen Rahmen erlaubt ist und/oder wenn Nutzer dem zugestimmt haben. Wir als Betreiber dürfen personenbezogene Daten nur dann länger speichern, herausgeben oder nachträglich auf diese zugreifen, soweit dies im rechtlich gestattet ist (z.B. bei Verdacht auf rechtswidrige Aktivitäten).

Durch das Besuchen und Benutzen unserer Seite können verschiedene personenbezogene Daten nach Art.4 DSGVO erhoben werden, welche Sie im Folgenden aufgelistet finden.

Zugriffsdaten

Im Zuge eines automatischen Protokolls des verarbeitenden Computersystems wird eine Logdatei erstellt. Das bedeutet, dass Informationen Ihres verwendeten Endgerätes als Logfiles auf einem Server festgehalten werden. Durch den Zugriff auf unsere Seite erheben wir solche Daten, welche als Server-Logfiles abgelegt werden. Dies erfolgt aus Sicherheitsgründen. Server-Logfiles werden für eine Zeit von höchstens sieben Tagen gespeichert und anschließend gelöscht. Die so erhobenen, personenbezogenen Daten umfassen:

  • Zugriff auf die Seite: Datum, Uhrzeit, Häufigkeit
  • wie Sie auf die Seite gelangt sind (vorherige Seite, Hyperlink etc.)
  • Menge der gesendeten Daten
  • welchen Browser und welche Version desselben Sie verwenden
  • Ihre IP-Adresse
  • […]

Sie können unser Angebot auch nutzen, ohne Informationen Ihrer Person preiszugeben. Im Regelfall werden wir dennoch Ihre anonymisierten Zugriffsdaten speichern, ohne Rückschluss auf die natürliche Person.

Kontaktdaten über Formulare und Kommentarfunktion

Wenn Sie mit uns Kontakt aufnehmen (über das Kontaktformular, die Kommentarfunktion, E-Mail etc.) dann werden im Regelfall Ihr Name, Ihre E-Mail-Adresse und Ihre IP-Adresse erhoben. Auch hierfür besteht ein berechtigtes Interesse unsererseits, wenn z. B. Ihr Kommentar gegen geltendes Recht verstößt. Zudem behalten wir es uns grundsätzlich vor, Äußerungen mit menschenverachtenden, diffamierenden, homophoben und ähnlichen hetzerischen Inhalten zu löschen und, wenn notwendig, zur Anzeige zu bringen.

Daten, die durch unseren Verkaufsservice erhoben werden

Wenn Sie den Verkaufsservice unserer Seite benutzen, dann sind die so erhobenen Informationen nicht für andere Nutzer einsehbar. Zu diesen Daten zählen:

  • Vor- und Zuname
  • Anschrift
  • Geburtsdatum
  • E-Mail-Adresse
  • Kreditinstitute
  • Ihre aufgegebene Bestellung
  • frühere Bestellungen
  • […]
Besonders personenbezogene Daten

Es werden keine besonderen personenbezogenen Daten nach Art. 9 DSGVO erhoben.

Für Ihre Datenschutzerklärung kann unsere Vorlage als Anhaltspunkt dienen

Für Ihre Datenschutzerklärung kann unsere Vorlage als Anhaltspunkt dienen

5. Datenweitergabe an Dritte

„Dritte“ bzw. eine „dritte Person“ meint, dass außer dem Datenverursacher und dem Datenerheber noch eine weitere Instanz Zugriff auf die betroffenen Daten erhält. Eine Ausführung zur Datenweitergabe an Dritte ist als einzelner Abschnitt in der Datenschutzerklärung optional – insofern Sie entsprechende Informationen bereits in anderen Unterpunkten erläutern. Wichtig ist jedoch, dass es Erwähnung findet: Gerade das illegale Verkaufen von Benutzerdaten zu Gewinnzwecken oder marktrechtlichen Vorteilen hat in der Vergangenheit wiederholt zu Skandalen geführt und wird dementsprechend auch streng geahndet.

Wünschen Sie eine solche extra Ausführung in Ihrer Datenschutzerklärung, kann diese so oder so ähnlich aussehen:

Datenweitergabe an Dritte

Grundsätzlich werden Ihre Daten von uns nicht an Dritte vermittelt. Außerdem stellen wir durch entsprechende Maßnahmen und regelmäßige Kontrollen sicher, dass die von uns erhobenen Daten nicht durch Dritte von außen eingesehen oder abgegriffen werden können.
Oder, insofern eine Weitergabe an Dritte erfolgt:
Wir übermitteln Ihre Daten an folgende, dritte Personen:

  • unsere Außenstelle „Mustername“
  • den Dienstleister „Mustername“
  • […]

Diese Stellen verwenden Ihre Daten aus folgenden Gründen:

  • Verbesserung des Dienstes im In- und Ausland
  • Länderübergreifender Vergleich und Analyse
  • […]

Wir versichern, dass die Weitergabe dieser Daten den gesetzlichen Vorgaben entsprechen und dass Daten nur an diese dritten Stellen übersendet werden. Wenn Sie Anliegen bzgl. dessen haben, können Sie sich an folgende Ansprechpersonen wenden (Im Nachfolgenden sollten Sie die Ansprechpartner der dritten Stellen aufführen)

Verwendete Cookies

Daneben werden insbesondere Cookies für eine Datenschutzerklärung wichtig – die Verwendung derselben muss zwingend und am besten an vorderster Stelle erwähnt werden. Schließlich gibt es wohl kaum eine Seite, welche keine Cookies benutzt.

Beachten Sie hierzu: Es reicht nicht aus, wenn Sie Cookies nur in der Datenschutzerklärung erwähnen. Nutzer müssen diesen separat zustimmen; als Seitenbetreiber sind Sie als zusätzlich verpflichtet, einen separaten Cookie-Hinweis zu schalten. Dieser sollte dem User in dem Moment des Seitenbesuches eingeblendet werden.

Verwendete Cookies

Diese Website setzt Cookies ein. Dies sind kleine Textdateien, welche in Ihrem Browser platziert werden. Auf die Art werden Ihr Browser und Ihr Gerät bei einer nächsten Anmeldung wiedererkannt. Dadurch können bei Ihrem nächsten Besuch bereits getätigte Einstellungen und andere Änderungen, welche Sie vorgenommen haben, rekonstruiert werden. Wir verwenden Cookies, um

  • unseren Dienst zu personalisieren und somit benutzerfreundlicher zu gestalten
  • Betrugsversuche zu verhindern und Sicherheit zu gewährleisten
  • interessenbasierte Werbung zu schalten
  • pseudonymisierte Reichweitenmessung durchzuführen

Sie haben jederzeit die Möglichkeit, das Setzen von Cookies zu blockieren und bereits gesetzte Cookies in Ihrem verwendeten Browser zu löschen. In solch einem Fall müssen wir Sie darauf hinweisen, dass bestimmte Features auf der Seite eventuell nicht mehr oder nur noch eingeschränkt funktionieren.

Wünschen Sie nicht, dass Cookies zur Reichweitenmessung eines bestimmten Anbieters eingesetzt werden, dann können Sie über folgende Seiten entsprechende Einstellungen tätigen:

  • Cookie-Deaktivierungsseite der Netzwerkwerbeinitiative: http://optout.networkadvertising.org/?c=1#!/
  • Cookie-Deaktivierungsseite der US-amerikanischen Website: http://optout.aboutads.info/?c=2#!/
  • Cookie-Deaktivierungsseite der europäischen Website: http://optout.networkadvertising.org/?c=1#!/
In der Datenschutzerklärung müssen Sie E-Mail-Adresslisten unbedingt erwähnen

In der Datenschutzerklärung müssen Sie E-Mail-Adresslisten unbedingt erwähnen

Eine Datenschutzerklärung muss auch Newsletter erwähnen

Newsletter sind beliebte Formate, um Nutzer zum Lesen zu animieren. Diese werden meist monatlich an persönliche E-Mail-Adressen verschickt. Dazu ist es selbstverständlich nötig, erst einmal einen Pool an E-Mail-Adressen anzulegen. Somit gehört auch ein etwaiger Newsletter in die Datenschutzerklärung. Im nachfolgenden Muster ist das eine nur kurze Erklärung, welche jedoch in der Regel ausreicht. Selbiges gilt auch, wenn Ihre Seite oder Teile davon in irgendeiner Art abonniert werden kann. Dies funktioniert ja in der Regel auch über E-Mail – insofern bietet es sich an, Newsletter und andere Abonnements zusammen in der Datenschutzerklärung abzuhandeln.

Nebenbei sollte jeder versendete Newsletter und jede durch ein Abonnement generierte E-Mail die Möglichkeit bieten, sich abzumelden. Dies können Sie realisieren, indem Sie am Ende einen Hyperlink einfügen, welcher auf eine entsprechende Option weiterleitet.

Newsletter und Abonnements

Wir versenden auf Anmeldung Newsletter an die hinterlegten E-Mail-Adressen unserer Nutzer, in welchem wir über Neuerungen, Gewinnspiele und aktuelles Geschehen informieren. Unser Newsletterversand erfolgt über den Versandienstleister Musteranbieter.

Dafür speichern wir entsprechende E-Mail-Adressen ab. Wenn Sie dies nicht mehr wünschen, können Sie sich jederzeit unter der Adresse (Hier entsprechenden Link einfügen) von der Zusendung des Newsletters abmelden. Ihre E-Mail-Adresse wird dann unverzüglich aus dem Verteiler gelöscht.

4. Tools zur Seitenoptimierung: Google Analytics und Co.

Auch wenn soziale Medien eigene Auflagen haben, muss eine aktuelle Datenschutzerklärung diese dennoch erwähnen

Auch wenn soziale Medien eigene Auflagen haben, muss eine aktuelle Datenschutzerklärung diese dennoch erwähnen

Es gibt für Betreiber verschiedene Möglichkeiten, um den Verkehr und den Erfolg der eigenen Webseite nachzuvollziehen. Ein beliebtes und weit verbreitetes Programm ist Google Analytics. Andere Programme sind z.B. Piwik, eTracker, Nedstat, Webtrekk oder mint. Durch diese Dienste können die Surfgewohnheiten von Nutzern eingesehen werden, weshalb sie unbedingt in die Datenschutzerklärung gehören. Für professionelle Seitenbetreiber ist die Nutzung solcher Werkzeuge quasi unerlässlich, um marktfähig zu bleiben.

Gerade Google Analytics ist jedoch hinsichtlich der Datenschutz-Auflagen sehr umstritten. Der Dienst ist zwar umfassender und effizienter als viele vergleichbare Angebote, lässt sich aber in seiner Arbeitsweise nicht immer mit europäischen Vorschriften vereinbaren. In Hessen etwa ist das Tool für öffentliche Stellen nicht zulässig und wurde auch wiederholt in anderen Bundesländern als rechtlich nicht konform befunden.

Wichtiger Hinweis! Wenn Sie hierzulande trotzdem Google Analytics benutzen möchten, dann müssen Sie den Erweiterungscode „anonymizeIp“ schalten. Dieser gewährleistet, dass Daten vor einer Auswertung anonymisiert werden. Da Sie in der Datenschutzerklärung die Möglichkeit einer Deaktivierung bereitstellen sollten, müssen Sie auch dafür einen zusätzlichen Code einfügen – dies ist nämlich in der Originalversion des Dienstes nicht von vornherein enthalten.

Trotz dieser Maßnahmen bleibt die Nutzung von Google Analytics rechtlich strittig. Konsultieren Sie im Zweifelsfall einen Anwalt oder befragen Sie einen Datenschutzbeauftragten.

Webanalysediente

Diese Seite verwendet Google Analytics, einen Dienst der Google Inc. (1600 Amphitheatre Parkway Mountain View, CA 94043, USA). Google LLC ist durch das Privacy-Shield-Abkommen zertifiziert:
https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active

Dieser Dienst ermöglicht es uns, durch Erstellen von Reports die Nutzung unserer Webseite nachzuvollziehen und somit unser Angebot auf die Nachfragen der Benutzer anzupassen. Auf dieser Website wurde eine IP-Anonymisierung für den Dienst eingerichtet. Das bedeutet, dass IP-Adressen in den Vertragsstaaten gekürzt werden. Nur in Ausnahmefällen werden IP-Adressen zunächst in die USA an einen entsprechenden Server übertragen und dort gekürzt.

Google Analytics setzt eigene Cookies, welche erfasste Daten in der Regel an einen Server in den USA übertragen und dort speichern.

Möchten Sie die betreffenden Cookies deaktivieren, finden Sie unter folgendem Link ein entsprechendes Browser-Plugin: https://tools.google.com/dlpage/gaoptout?hl=de (oder entsprechenden Hyperlink setzen)

Wenn Sie gar keine Erfassung Ihrer Daten durch Google Analytics wünschen, können Sie über den folgenden Link einen Opt-Out-Cookie setzen, welcher eine zukünftige Erfassung von Informationen verhindert: (Opt-Out Link setzen)
Daten, welche von Google Analytics generiert werden, umfassen:

  • Art des Browsers plus dessen Version
  • das Betriebssystem, welches Sie verwenden
  • wie lange Sie auf unserer Seite bleiben
  • die zuvor besuchte Webseite
  • […]

Die so erhobenen Daten werden nicht mit anderen, durch Google-Dienste erhobene Daten zusammengeführt. Nähere Informationen zu der Arbeitsweise des Programmes selbst finden Sie hier: (An dieser Stelle können Sie auf die entsprechenden externen Webseiten der Programme verlinken)

Für Ihre persönliche Datenschutzerklärung sind auch dritte Empfänger wichtig

Für Ihre persönliche Datenschutzerklärung sind auch dritte Empfänger wichtig

6. Plugins von Sozialen Netzwerken

Alles, was Sie selbst eingebunden haben und das von der eigenen Seite weg führt, gehört ebenfalls in die Datenschutzerklärung. Dazu zählen vor allem die Weiterleitungen auf die eigenen Profile in sozialen Medien. Diese „Social Bookmarks“ von Facebook, Twitter, Reddit, Google+ oder LinkedIn sind heutzutage ideal, um die eigene Reichweite zu erhöhen. In der Regel sind diese kleine Schaltflächen, welche auf die jeweilige Seite gesetzt werden und durch welche Inhalte direkt in den sozialen Medien geteilt werden können.

Neben der Erläuterung der einzelnen Plugins sollten Sie in Ihrer Datenschutzerklärung zudem entsprechende externe Links einfügen, über welche Nutzer zu den jeweiligen Anbietern gelangen.

Wird ein Nutzer durch solch ein Plugin auf den entsprechenden Kanal weitergeleitet, dann ist auch dies datenschutzrechtlich nicht einwandfrei. Denn: Auf diese Art werden entsprechende Daten direkt an den Server des Seitenbetreibers gesendet.

Social-Media-Plugins

Auf unserer Webseite bieten wir die Möglichkeit, über externe Links Inhalte in sozialen Netzwerken oder per Mail zu teilen. Dies realisieren wir über Social Bookmarks. Das sind Schaltflächen, welche an dem Logo des jeweiligen Sozialen Netzwerkes zu erkennen sind. Das Plugin stellt eine Verbindung zwischen Ihrem Browser und den Servern des jeweiligen Anbieters her. Benutzen Sie diese Social Bookmarks, werden Sie im Regelfall auf die Seiten der Anbieter weitergeleitet und entsprechende Nutzerinformationen weitergegeben.

Wenn Sie während der Benutzung unserer Seite auf einem dieser sozialen Netzwerke mit Ihrem Konto angemeldet sind und unsere Inhalte teilen möchten, dann werden diese Informationen mit Ihrem jeweiligen Konto verknüpft. Weiterhin besteht die Möglichkeit, dass Ihre IP-Adresse ausgelesen wird. Wir als Betreiber haben keinen Einfluss auf die Daten, welche durch Plug-Ins an entsprechende Server vermittelt werden.

Weitere Informationen zum Umgang mit Ihren Daten entnehmen Sie bitte der Datenschutzerklärung des jeweiligen Anbieters:

Facebook: https://de-de.facebook.com/policy.php
Twitter: https://twitter.com/privacy?lang=de
Google+: https://www.google.com/intl/de/policies/privacy/

Hier finden Sie Informationen speziell zu den Schaltflächen:

Facebook: https://developers.facebook.com/docs/plugins/
Twitter: https://twitter.com/privacy?lang=de
Google+: https://developers.google.com/+/web/buttons-policy.

Zum Inhalt einer Datenschutzerklärung zählen neben der Datenerhebung selbst auch die Rechte des Nutzers

Zum Inhalt einer Datenschutzerklärung zählen neben der Datenerhebung selbst auch die Rechte des Nutzers

7. Aufklärung über Rechte

Neben der Offenlegung der eigenen Arbeitsweise hat die Datenschutzerklärung noch ein zweites wichtiges Ziel: Benutzer über ihre Rechte aufklären. Einiges davon wurde in den vorhergegangen Abschnitten zwar schon angedeutet; die DSVGO sieht jedoch eine umfassende Darstellung vor, weshalb Sie diesem Thema einen eigenen Abschnitt widmen sollten.

Zu den Rechten, über welche laut DSGVO in einer Datenschutzerklärung aufgeklärt werden muss, gehören

  • Das Widerrufsrecht/Widerspruchsrecht (dieses muss genauso einfach wie die Erteilung der Einwilligung sein)
  • Das Auskunftsrecht
  • Recht auf Berichtigung, Löschung oder Sperrung
  • Das Beschwerderecht
  • Recht auf Datenübertragbarkeit
Ihre Rechte

Selbstverständlich haben Sie in Bezug auf die Erhebung Ihrer Daten Rechte. Laut geltendem Gesetz sind wir dazu verpflichtet, Sie über dieselben aufzuklären. Die Inanspruchnahme und Durchführung dieser Rechte ist für Sie kostenlos.

Widerrufsrecht

Sie haben das Recht, Ihre Einwilligung bzgl. der Erhebung von Daten jederzeit zu widerrufen. Dieses Recht gilt mit Wirkung für die Zukunft; die bis zur Rechtkraft des Widerrufs erhobenen Daten bleiben hiervon unberührt.
Folgen Sie diesem Link, wenn Sie von Ihrem Widerrufsrecht Gebrauch machen möchten: www.musterseite.de/widerruf

Recht auf Datenübertragbarkeit

Sie haben das Recht, eine Übertragung Ihrer Daten von uns auf eine andere Stelle zu beantragen.

Auskunftsrecht

Sie haben das Recht, von uns eine Bestätigung zu verlangen, ob und wie wir personenbezogene Daten von Ihnen beziehen. Dieses Recht ist durch die vorliegende Datenschutzerklärung realisiert. Zusätzlich können Sie eine elektronische Auskunft anfordern.

Recht auf Berichtigung, Löschung oder Sperrung

Sie haben das Recht, Ihre Daten berichtigen, löschen oder sperren zu lassen. Letzteres kommt zur Anwendung, wenn die gesetzliche Lage eine Löschung nicht zulässt.

Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde bzw. einer zuständigen Stelle zu beschweren, insofern Sie einen Grund zur Beanstandung haben sollten. Für die Inanspruchnahme dieses Rechts und der zwei vorher genannten wenden Sie sich bitte an die am Ende dieser Datenschutzerklärung aufgeführten Kontaktpersonen.

Eine Datenschutzerklärung kann ein Kontakformular zusätzlich zum Muster schalten

Eine Datenschutzerklärung kann ein Kontakformular zusätzlich zum Muster schalten

8. Entsprechende Kontaktdaten

Last but not least muss eine Datenschutzerklärung natürlich auch die verantwortlichen Stellen aufführen, welche für die entsprechende Datenerhebung und –auswertung zuständig ist. Insofern Sie einen Datenschutzbeauftragen bzw. eine Datenschutzbeauftragte einbestellen müssen, sollte auch diese/r erwähnt werden.

Optional können Sie in Ihrer Datenschutzerklärung auch ein Formular einfügen, durch welches Nutzer Nachrichten direkt an die betroffenen E-Mail-Adressen senden. Wenn Sie sich für diese Lösung entscheiden sollten, müssen Kontaktdaten trotzdem aufgeführt werden!

Ein anonymes Fenster ohne Hinweis auf konkrete Verantwortliche könnte Ihnen Ärger hinsichtlich Transparenz- und Informationspflicht einbringen.

Verantwortlich für die Datenerhebung

Für Fragen, Auskunftsersuche, Anträge, Beschwerden oder Kritik hinsichtlich unseres Datenschutzes können Sie sich an folgende Stelle wenden:

Herr/Frau Mustermann
Musterarbeitgeber
Musterstraße 123
12345 Musterstadt

Datenschutzbeauftragte/r

Die korrekte Umsetzung des Datenschutzes wird bei uns von einer/einem externen Datenschutzbeauftragten übersehen. Wenn Sie Anliegen hinsichtlich der Verarbeitung Ihrer persönlichen Daten haben, besteht zudem die Möglichkeit, sich direkt mit dieser/diesem in Verbindung zu setzen.

Herr/Frau Mustermann
Musterarbeitgeber
Musterstraße 123
12345 Musterstadt

9. Mögliche Änderungen

Wie bereits erläutert, befinden sich entsprechende Gesetze im Fluss. Insofern schadet es nicht, mit einem Hinweis auf mögliche Veränderungen und dem aktuellen Stand zu schließen.

Änderung der Datenschutzerklärung

Wir als Verantwortliche behalten es uns vor, die Datenschutzerklärung jederzeit im Hinblick auf geltende Datenschutzvorschriften zu verändern. Derzeitiger Stand ist (Monat und Jahreszahl).

Download: Datenschutzerklärung als Vorlage

Datenschutzerklärung: Muster downloaden

Gerne können Sie das für eine Datenschutzerklärung bereitgestellte Muster herunterladen. Im Folgenden finden Sie die Vorlage sowohl im PDF- als auch im Word-Format zum Download:

  • Kostenloser Download
  • Muster als PDF und Word-Dokument
  • vor Gebrauch überprüfen lassen!

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (75 Bewertungen, Durchschnitt: 4,20 von 5)
Loading...

5 Kommentare

  1. Frank S. sagt:

    Sehr hilfreich. Vielen Dank!

  2. Ursula S. sagt:

    Wo sind die angekündigten Muster am Ende der Website hin???? Nur Anzeigen-Werbung mit Vorlagen, die vom Virenscanner als schädlich eingestuft werden. Der Link ist tot!!!!! Die Datenschutzvereinbarung für Dienstleister: Muster und Hinweise. Und das bei einer Seite, die eigentlich unterstützen sollte.

    • bussgeldkatalog.org sagt:

      Hallo Ursula,

      auf Grund der neuen DSGVO waren unsere alten Muster nicht mehr auf dem neuesten Stand, weshalb wir diese zunächst von der Seite entfernt haben. Die Überarbeitung nimmt leider einige Zeit in Anspruch.

      Die Redaktion von bussgeldkatalog.org

  3. Uwe M. sagt:

    Vielen Dank, sehr informativ!

Verfasse einen neuen Kommentar