Unab­hän­gig davon, ob ein Daten­schutz Gene­ra­tor oder eine Vor­la­ge ver­wen­det wird — als Web­sei­ten­be­trei­ber müs­sen Sie wis­sen, wel­che Daten auf Ihrer Web­sei­te ver­wen­det wer­den. Eben­so wie, wofür, wes­halb und wo die Daten der Nut­zer ver­ar­bei­tet wer­den. Nach den Rege­lun­gen der DSGVO (Art. 12) müs­sen die­se Infor­ma­tio­nen prä­zi­se, ver­ständ­lich und leicht zugäng­lich in der Daten­schutz­er­klä­rung ver­mit­telt wer­den. Dafür sind die Web­sei­ten­be­trei­ber selbst und nicht die Dienst­leis­ter oder Daten­schutz­ge­ne­ra­to­ren ver­ant­wort­lich. Daher soll­te jeder Betrei­ber sich dar­über infor­mie­ren, wel­che Infor­ma­tio­nen in einer Daten­schutz­er­klä­rung not­wen­dig sind. Wir haben die wich­tigs­ten Punk­te über­sicht­lich für Sie auf­be­rei­tet.

Notwendige Informationen, die in jede Datenschutzerklärung gehören:

  • Namen und Kon­takt­da­ten des Ver­ant­wort­li­chen sowie ggf. sei­nes Ver­tre­ters,
  • Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten,
  • die Zwe­cke, für wel­che die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den sol­len und die Rechts­grund­la­ge für die Ver­ar­bei­tung,
  • berech­tig­te Inter­es­sen, die von dem Ver­ant­wort­li­chen oder einem Drit­ten ver­folgt wer­den,
  • Emp­fän­ger oder Kate­go­rien von Emp­fän­gern der per­so­nen­be­zo­ge­nen Daten,
  • ggf. Absicht des Ver­ant­wort­li­chen, die per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on zu über­mit­teln, sowie das Vor­han­den­sein oder das Feh­len eines Ange­mes­sen­heits­be­schlus­ses der Kom­mis­si­on oder im Fal­le von Über­mitt­lun­gen gemäß Arti­kel 46 oder Arti­kel 47 oder Arti­kel 49 Absatz 1 Unter­ab­satz 2 einen Ver­weis auf die geeig­ne­ten oder ange­mes­se­nen Garan­tien und die Mög­lich­keit, wie eine Kopie von ihnen zu erhal­ten ist oder wo sie ver­füg­bar sind,
  • die Dau­er der Spei­che­rung per­so­nen­be­zo­ge­ner Daten oder die Kri­te­ri­en für die Fest­le­gung die­ser Dau­er,
  • Bestehen eines Rechts auf Aus­kunft sei­tens des Ver­ant­wort­li­chen über die betref­fen­den per­so­nen­be­zo­ge­nen Daten sowie auf Berich­ti­gung oder Löschung oder auf Ein­schrän­kung der Ver­ar­bei­tung oder eines Wider­spruchs­rechts gegen die Ver­ar­bei­tung sowie des Rechts auf Daten­über­trag­bar­keit,
  • Recht dar­auf, die Ein­wil­li­gung jeder­zeit zu wider­ru­fen,
  • Bestehen eines Beschwer­de­rechts bei einer Auf­sichts­be­hör­de ,
  • ob die Bereit­stel­lung der per­so­nen­be­zo­ge­nen Daten gesetz­lich oder ver­trag­lich vor­ge­schrie­ben oder für einen Ver­trags­ab­schluss erfor­der­lich ist, ob die betrof­fe­ne Per­son ver­pflich­tet ist, die per­so­nen­be­zo­ge­nen Daten bereit­zu­stel­len, und wel­che mög­li­che Fol­gen die Nicht­be­reit­stel­lung hät­te und
  • das Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­filing gemäß Arti­kel 22 Absät­ze 1 und 4 und — zumin­dest in die­sen Fäl­len — aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Per­son.

Individuelle Anpassungen in der Datenschutzerklärung

E‑Mail-News­let­ter-Tracking

Setzt die Web­site ein News­let­ter-Tracking ein, so ist auf die damit ver­bun­de­ne Daten­ver­ar­bei­tung geson­dert ein­zu­ge­hen. Eine Rechts­grund­la­ge für das Tracking kann das berech­tig­te Inter­es­se nach Art. 6 Abs. 1 lit. f DSGVO sein. Vor­aus­set­zung für Ver­sand News­let­ter ist aber stets:

  • Ver­sand des News­let­ter auf­grund einer vor­he­ri­gen Ein­wil­li­gung nach DSGVO oder
  • Ver­sand eines News­let­ters infol­ge des des Ver­kaufs von Waren und Dienst­leis­tun­gen (§ 7 Abs. 3 UWG)

Beim Tracking im E‑Mail News­let­ter wer­den soge­nann­te Web-Beacons oder auch Zähl­pi­xel ver­wen­det. Zähl­pi­xel sind extrem klei­ne, häu­fig bloß 1×1 Pixel gro­ße, Bild­da­tei­en, wel­che in die News­let­ter-E-Mail inte­griert wer­den und so eine Log­da­tei-Auf­zeich­nung sowie eine Log­da­tei-Ana­ly­se erlau­ben. Dies erlaubt ein pseu­do­my­ni­sier­tes oder aber ein per­so­na­li­sier­tes News­let­ter-Tracking, je nach­dem wel­che Tech­no­lo­gie und wel­chen Dienst­leis­ter man aus­wählt. Wich­tig auch der Nach­weis einer Auf­trags­da­ten­ver­ar­bei­tungs­ver­trag mit dem Dienst­leis­ter.

Ach­tung Buß­geld und Abmah­nung Gefahr bei feh­len­der ent­spre­chen­der Info!

Blog mit Kom­men­tar­funk­ti­on

Beim Betrieb eines Blogs mit Kom­men­tar­funk­ti­on wer­den zusätz­li­che per­so­nen­be­zo­ge­ne Daten (Bei­spiel: Pseud­ony­me) gespei­chert. Dabei muss auch auf eine Mög­lich­keit, Kom­men­ta­re zu abon­nie­ren, ein­ge­gan­gen wer­den. Das Kom­men­tie­ren soll­te nur nach Ein­ho­lung einer Ein­wil­li­gung zur Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten mög­lich sein. In die­sem Fall ist eine Ver­ar­bei­tung nach Art. 6 Abs. 1 lit. a DSGVO erlaubt.

E‑Commerce

Bie­tet der Web­sei­ten­be­trei­ber den Nut­zern eine Platt­form für den Abschluss von Ver­trä­gen (z.B. Kauf- oder Dienst­ver­trä­ge), so wer­den auch im Rah­men des Ver­trags­schlus­ses in aller Regel per­so­nen­be­zo­ge­ne Daten des Ver­trags­part­ners erho­ben. Auf die­se Daten­ver­ar­bei­tung hat der Web­site­be­trei­ber geson­dert und detail­liert hin­zu­wei­sen. Soweit die Ver­ar­bei­tung der Daten für den Abschluss des Ver­tra­ges erfor­der­lich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechts­grund­la­ge für die Daten­ver­ar­bei­tung.

Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten an Drit­te

Eine Viel­zahl von Web­sites nutzt Erwei­te­run­gen von Dritt­an­bie­tern. Oft­mals wer­den bei sol­chen Imple­men­tie­run­gen per­so­nen­be­zo­ge­ne Daten an die Dritt­an­bie­ter wei­ter­ge­ge­ben oder auto­ma­ti­siert über­mit­telt. Art, Umfang, Zweck und Dau­er die­ser Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten kön­nen dabei im Ein­zel­fall unter­schied­lich aus­ge­stal­tet sein. Der Web­site­be­trei­ber hat im Ein­zel­nen zu prü­fen, wel­che Diens­te von Dritt­an­bie­tern er auf sei­ner Web­site in Anspruch nimmt und ob dabei eine Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten erfolgt. Ent­spre­chend hat er die­se Daten­ver­ar­bei­tung in der Daten­schutz­er­klä­rung auf­zu­neh­men. 

Bei­spie­le für die Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten an Drit­te kön­nen sein:

Wei­ter­ga­be an Dienst­leis­ter

Ins­be­son­de­re im Rah­men von Ver­trags­ab­schlüs­sen über die Web­site wer­den per­so­nen­be­zo­ge­ne Daten oft­mals an Dienst­leis­ter (z.B. Zulie­fe­rer) wei­ter­ge­ge­ben. Dienst­leis­ter kön­nen jedoch auch allei­ne im Inter­es­se des Web­sei­ten Betrei­bers tätig wer­den (z.B. tech­ni­scher Ser­vice).

Bezahl­diens­te und Pay­ment-Ver­fah­ren

Einen Son­der­fall der Wei­ter­ga­be an Dienst­leis­ter ist die Wei­ter­ga­be der Daten an Bezahl­diens­te im Online­han­del. Beim Markt­füh­rer Paypal ist der Bezahl­dienst  z.B. selbst gra­tis, aber der Nut­zer “zahlt” mit Preis­ga­be sei­ner Daten, ins­be­son­de­re erfährt der Bezahl­dienst durch die Über­nah­me der Dienst­leis­tung wann, wo und bei wem, er was zu wel­chem Preis ein­ge­kauft hat. Die Daten las­sen sich zu Zwe­cken der indi­vi­dua­li­sier­ten Wer­bung und Prei­sen an den Ver­brau­cher von Wer­be­trei­ben­den ver­wer­ten. 

Third-Par­ty-Coo­kies

Die Ein­bin­dung von eige­nen Coo­kies ist Teil einer jeden Daten­schutz­er­klä­rung. Oft­mals wer­den dar­über hin­aus auch Coo­kies von Dritt­an­bie­tern, ein­ge­setzt. Die­se sind detail­liert zu beschrei­ben. Die Nut­zer sind auf die Ver­wen­dung von Third-Par­ty-Coo­kies beim Auf­ruf der Web­site hin­zu­wei­sen und über den Ein­satz der ver­wen­de­ten Coo­kies auf der Web­sei­te zu infor­mie­ren. Strit­tig bis zur Gel­tung der ePri­va­cy Ver­ord­nung ist die Ver­wen­dung der Rechts­grund­la­ge “berech­tig­tes Inter­es­se” und  das “opt-out” Ver­fah­ren. Nach aktu­el­ler Ent­schei­dung des EuGH vom 1.10.2019 ist aber geklärt, dass die Ver­wen­dung von sog. Wer­be­coo­kies nur im “opt-in” Ver­fah­ren zuläs­sig ist , d.h. akti­ve vor­he­ri­ge Zustim­mung des Nut­zers vor Set­zen von Third Par­ty Coo­kies. 

Ein­satz von Social-Media-Plugins

Beim Ein­satz von Social-Media-Plugins wer­den per­so­nen­be­zo­ge­ne Daten der Nut­zer an die Anbie­ter sozia­ler Netz­wer­ke wei­ter­ge­lei­tet. Nach aktu­el­ler Recht­spre­chung des EuGH vom 29.7.2019 bedarf es zur lega­len Ver­ar­bei­tung der Daten via des  “Face­book Like” But­tons oder ähn­li­chen Schalt­flä­chen von Goog­le, Twit­ter oder Pin­te­rest auf einer Web­sei­te eines “Opt-in” des Nut­zers, etwa mit­tels Pop-up Fens­ter.  

Web­site Ana­ly­se Diens­te

Web­site Ana­ly­se Diens­te (z.B. Goog­le Ana­ly­tics oder Ado­be Ana­ly­tics) zur Effi­zi­enz­stei­ge­rung der eige­nen Web­sei­te, die von Dritt­an­bie­tern betrie­ben wer­den, erfor­dern die Wei­ter­ga­be von Daten über die Web­sei­te Besu­cher an die Dritt­an­bie­ter. Dafür wer­den in der Regel sog. Wer­be Coo­kies ein­ge­setzt. Der genaue Ein­satz ist in der Daten­schutz­er­klä­rung zu doku­men­tie­ren. Nach neus­ter Recht­spre­chung des EuGH vom 1.10. 2019 (sie­he oben) sind Ana­ly­se­ver­fah­ren nicht mehr das berech­tig­te Inter­es­se nach Art. 6 Abs. 1 lit.f DSGVO des Web­sei­ten­be­trei­bers. Viel­mehr bedarf es einer vor­he­ri­gen Zustim­mung des Nut­zers vor Ein­satz von Ana­ly­se Coo­kies. Ob dies auch in dem Fall gilt, wenn eine Pseud­ony­mi­sie­rung der Daten erfolgt und kei­ne Web­sei­ten über­grei­fen­de Nach­ver­fol­gung des Besu­chers erfolgt, ist strit­tig. Im Zwei­fel ist aber lie­ber beim Ver­wen­den von Wer­be­coo­kies der höchst­rich­ter­li­che, neus­te Recht­spre­chung zu fol­gen und eine Ein­wil­li­gung des Nut­zers ein­zu­ho­len, da man ansons­ten Gefahr läuft abge­mahnt zu wer­den.

Anzei­gen- und Mar­ke­ting-Diens­te

Wird auf der Web­site Wer­bung geschal­tet, so geschieht dies in der Regel unter Ein­be­zie­hung von Dritt­an­bie­tern (z.B. Goog­le AdSen­se oder AdWords, Face­book Pixel). Meist fin­det dabei eine Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten der Nut­zer in Form der IP-Adres­se an die Ver­mitt­ler zu deren Wei­ter­ver­ar­bei­tung wie dem Retar­ge­ting, Con­ver­si­on Mes­sung statt. Face­book kann u.U. auch Nut­zer­na­men zuord­nen und dar­aus Nut­zer­pro­fi­le zu Wer­be­zwe­cken erstel­len. Eine Recht­fer­ti­gung ist in der Regel das “Opt-in” des Nut­zers.  (Pop-up Fens­ter bei Auf­ruf der Web­sei­te). Dem­nach wer­den die Daten erst nach aktiv erteil­ter Zustim­mung des Nut­zers auf der Web­sei­te an die Anzei­gen und Mar­ke­ting Diens­te über­mit­telt.