Unabhängig davon, ob ein Datenschutz Generator oder eine Vorlage verwendet wird – als Webseitenbetreiber müssen Sie wissen, welche Daten auf Ihrer Webseite verwendet werden. Ebenso wie, wofür, weshalb und wo die Daten der Nutzer verarbeitet werden. Nach den Regelungen der DSGVO (Art. 12) müssen diese Informationen präzise, verständlich und leicht zugänglich in der Datenschutzerklärung vermittelt werden. Dafür sind die Webseitenbetreiber selbst und nicht die Dienstleister oder Datenschutzgeneratoren verantwortlich. Daher sollte jeder Betreiber sich darüber informieren, welche Informationen in einer Datenschutzerklärung notwendig sind. Wir haben die wichtigsten Punkte übersichtlich für Sie aufbereitet.

Notwendige Informationen, die in jede Datenschutzerklärung gehören:

  • Namen und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für welche die personenbezogenen Daten verarbeitet werden sollen und die Rechtsgrundlage für die Verarbeitung,
  • berechtigte Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • ggf. Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind,
  • die Dauer der Speicherung personenbezogener Daten oder die Kriterien für die Festlegung dieser Dauer,
  • Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit,
  • Recht darauf, die Einwilligung jederzeit zu widerrufen,
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde ,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Individuelle Anpassungen in der Datenschutzerklärung

E-Mail-Newsletter-Tracking

Setzt die Website ein Newsletter-Tracking ein, so ist auf die damit verbundene Datenverarbeitung gesondert einzugehen. Eine Rechtsgrundlage für das Tracking kann das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO sein. Voraussetzung für Versand Newsletter ist aber stets:

  • Versand des Newsletter aufgrund einer vorherigen Einwilligung nach DSGVO oder
  • Versand eines Newsletters infolge des des Verkaufs von Waren und Dienstleistungen (§ 7 Abs. 3 UWG)

Beim Tracking im E-Mail Newsletter werden sogenannte Web-Beacons oder auch Zählpixel verwendet. Zählpixel sind extrem kleine, häufig bloß 1×1 Pixel große, Bilddateien, welche in die Newsletter-E-Mail integriert werden und so eine Logdatei-Aufzeichnung sowie eine Logdatei-Analyse erlauben. Dies erlaubt ein pseudomynisiertes oder aber ein personalisiertes Newsletter-Tracking, je nachdem welche Technologie und welchen Dienstleister man auswählt. Wichtig auch der Nachweis einer Auftragsdatenverarbeitungsvertrag mit dem Dienstleister.

Achtung Bußgeld und Abmahnung Gefahr bei fehlender entsprechender Info!

Blog mit Kommentarfunktion

Beim Betrieb eines Blogs mit Kommentarfunktion werden zusätzliche personenbezogene Daten (Beispiel: Pseudonyme) gespeichert. Dabei muss auch auf eine Möglichkeit, Kommentare zu abonnieren, eingegangen werden. Das Kommentieren sollte nur nach Einholung einer Einwilligung zur Verarbeitung der personenbezogenen Daten möglich sein. In diesem Fall ist eine Verarbeitung nach Art. 6 Abs. 1 lit. a DSGVO erlaubt.

E-Commerce

Bietet der Webseitenbetreiber den Nutzern eine Plattform für den Abschluss von Verträgen (z.B. Kauf- oder Dienstverträge), so werden auch im Rahmen des Vertragsschlusses in aller Regel personenbezogene Daten des Vertragspartners erhoben. Auf diese Datenverarbeitung hat der Websitebetreiber gesondert und detailliert hinzuweisen. Soweit die Verarbeitung der Daten für den Abschluss des Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage für die Datenverarbeitung.

Weitergabe personenbezogener Daten an Dritte

Eine Vielzahl von Websites nutzt Erweiterungen von Drittanbietern. Oftmals werden bei solchen Implementierungen personenbezogene Daten an die Drittanbieter weitergegeben oder automatisiert übermittelt. Art, Umfang, Zweck und Dauer dieser Verarbeitung von personenbezogenen Daten können dabei im Einzelfall unterschiedlich ausgestaltet sein. Der Websitebetreiber hat im Einzelnen zu prüfen, welche Dienste von Drittanbietern er auf seiner Website in Anspruch nimmt und ob dabei eine Weitergabe von personenbezogenen Daten erfolgt. Entsprechend hat er diese Datenverarbeitung in der Datenschutzerklärung aufzunehmen. 

Beispiele für die Weitergabe von personenbezogenen Daten an Dritte können sein:

Weitergabe an Dienstleister

Insbesondere im Rahmen von Vertragsabschlüssen über die Website werden personenbezogene Daten oftmals an Dienstleister (z.B. Zulieferer) weitergegeben. Dienstleister können jedoch auch alleine im Interesse des Webseiten Betreibers tätig werden (z.B. technischer Service).

Bezahldienste und Payment-Verfahren

Einen Sonderfall der Weitergabe an Dienstleister ist die Weitergabe der Daten an Bezahldienste im Onlinehandel. Beim Marktführer Paypal ist der Bezahldienst  z.B. selbst gratis, aber der Nutzer “zahlt” mit Preisgabe seiner Daten, insbesondere erfährt der Bezahldienst durch die Übernahme der Dienstleistung wann, wo und bei wem, er was zu welchem Preis eingekauft hat. Die Daten lassen sich zu Zwecken der individualisierten Werbung und Preisen an den Verbraucher von Werbetreibenden verwerten. 

Third-Party-Cookies

Die Einbindung von eigenen Cookies ist Teil einer jeden Datenschutzerklärung. Oftmals werden darüber hinaus auch Cookies von Drittanbietern, eingesetzt. Diese sind detailliert zu beschreiben. Die Nutzer sind auf die Verwendung von Third-Party-Cookies beim Aufruf der Website hinzuweisen und über den Einsatz der verwendeten Cookies auf der Webseite zu informieren. Strittig bis zur Geltung der ePrivacy Verordnung ist die Verwendung der Rechtsgrundlage “berechtigtes Interesse” und  das “opt-out” Verfahren. Nach aktueller Entscheidung des EuGH vom 1.10.2019 ist aber geklärt, dass die Verwendung von sog. Werbecookies nur im “opt-in” Verfahren zulässig ist , d.h. aktive vorherige Zustimmung des Nutzers vor Setzen von Third Party Cookies. 

Einsatz von Social-Media-Plugins

Beim Einsatz von Social-Media-Plugins werden personenbezogene Daten der Nutzer an die Anbieter sozialer Netzwerke weitergeleitet. Nach aktueller Rechtsprechung des EuGH vom 29.7.2019 bedarf es zur legalen Verarbeitung der Daten via des  “Facebook Like” Buttons oder ähnlichen Schaltflächen von Google, Twitter oder Pinterest auf einer Webseite eines “Opt-in” des Nutzers, etwa mittels Pop-up Fenster.  

Website Analyse Dienste

Website Analyse Dienste (z.B. Google Analytics oder Adobe Analytics) zur Effizienzsteigerung der eigenen Webseite, die von Drittanbietern betrieben werden, erfordern die Weitergabe von Daten über die Webseite Besucher an die Drittanbieter. Dafür werden in der Regel sog. Werbe Cookies eingesetzt. Der genaue Einsatz ist in der Datenschutzerklärung zu dokumentieren. Nach neuster Rechtsprechung des EuGH vom 1.10. 2019 (siehe oben) sind Analyseverfahren nicht mehr das berechtigte Interesse nach Art. 6 Abs. 1 lit.f DSGVO des Webseitenbetreibers. Vielmehr bedarf es einer vorherigen Zustimmung des Nutzers vor Einsatz von Analyse Cookies. Ob dies auch in dem Fall gilt, wenn eine Pseudonymisierung der Daten erfolgt und keine Webseiten übergreifende Nachverfolgung des Besuchers erfolgt, ist strittig. Im Zweifel ist aber lieber beim Verwenden von Werbecookies der höchstrichterliche, neuste Rechtsprechung zu folgen und eine Einwilligung des Nutzers einzuholen, da man ansonsten Gefahr läuft abgemahnt zu werden.

Anzeigen- und Marketing-Dienste

Wird auf der Website Werbung geschaltet, so geschieht dies in der Regel unter Einbeziehung von Drittanbietern (z.B. Google AdSense oder AdWords, Facebook Pixel). Meist findet dabei eine Weitergabe von personenbezogenen Daten der Nutzer in Form der IP-Adresse an die Vermittler zu deren Weiterverarbeitung wie dem Retargeting, Conversion Messung statt. Facebook kann u.U. auch Nutzernamen zuordnen und daraus Nutzerprofile zu Werbezwecken erstellen. Eine Rechtfertigung ist in der Regel das “Opt-in” des Nutzers.  (Pop-up Fenster bei Aufruf der Webseite). Demnach werden die Daten erst nach aktiv erteilter Zustimmung des Nutzers auf der Webseite an die Anzeigen und Marketing Dienste übermittelt.