Aufbau einer einfachen Datenschutzerklärung
Der folgende Artikel ist Teil der Service-Reihe Datenschutz auf Webseiten in Zusammenarbeit mit Seitenstark. Seitenstark e.V. ist eine Arbeitsgemeinschaft von Webseiten für Kinder und betreibt unter anderem die Info-Plattform wir-machen-kinderseiten.de. Das Angebot wird vom Bundesministerium für Familie, Senioren, Frauen und Jugend gefördert, die Service-Reihe wird von der EU-Initiative klicksafe.de unterstützt.
Bislang erschienen:
- Reihe „Datenschutz auf Webseiten“: Updates zur Datenschutz-Grundverordnung
- Hintergrund 1: Sieben goldene Regeln des Datenschutzes
- DSGVO-Update
- Hintergrund 2: Datenschutz- und Einwilligungserklärungen, AGB und Impressumspflicht
- Muster: Impressum für einen Verein
- Hintergrund 3: Zusammenarbeit mit Dienstleistern und Auftragsdatenverarbeitung
- DSGVO-Update: Auftragsverarbeitung, Embedding
- Aufbau einer einfachen Datenschutzerklärung
- Muster: einfache Datenschutzerklärung
- DSGVO-Update: Datenschutzerklärungen
- Chats, Foren und Gästebücher
- Muster: Gästebuch, anonymes Posting
- Muster: Forum und Chat mit Registrierung
- Muster in kindgerechter Sprache
- DSGVO-Update: Chats, Foren und Gästebücher
- Was muss bei Online-Umfragen beachtet werden?
- Muster: Einwilligung bei ausführlicher Umfrage
- Webanalyse-Werkzeuge und Datenschutz
- Muster: Datenschutz-Erklärung bei Einsatz von Piwik
- Muster in kindgerechter Sprache
- DSGVO-Update: Webanalyse-Werkzeuge und Datenschutz
- Was sollten Newsletter-Anbieter beachten?
- Muster: Einwilligungserklärung Newsletter in kindgerechter Sprache
- Einwilligungserklärungen bei Kontaktformularen, Mitmach-Aktionen und Gewinnspielen
- Mustertext für die Datenschutzerklärung
- Mustertext in kindgerechter Sprache
- Datenschutz bei Spenden- und Empfehlungsfunktionen
Update, 8.6.2018: Ergänzungen zu diesem Beitrag im Rahmen der Datenschutz-Grundverordnung (DSGVO) finden Sie am Ende des Textes.
Eine Datenschutzerklärung bündelt im Idealfall alle relevanten Angaben zum Datenschutz und stellt sie dennoch in übersichtlicher Form dar. Bei längeren Erklärungen sollte eine Kurzfassung vorangestellt werden, Details können dann bei Bedarf und Interesse nachgelesen werden.
Auch hier kann es sich empfehlen, sich an den „sieben goldenen Regeln“ zu orientieren. Aus dem Grundsatz der Zweckbindung etwa folgt, dass dem Nutzer die Zwecke der Datenverarbeitung verständlich werden sollten. Es sollte auch erkennbar sein, wer die Daten verarbeitet und somit die „verantwortliche Stelle“ ist. Hierbei kann in aller Regel auf ein Impressum verwiesen werden.
Ratsam ist es, für jede Funktion, die auf einer Website angeboten wird, einen eigenen Absatz vorzusehen. Zumeist entspricht das auch einem Verarbeitungszweck in rechtlicher Hinsicht. Hier sollten auch Angaben dazu gemacht werden,
- welche Arten von Daten erhoben werden,
- wann die Daten gelöscht und
- an wen sie gegebenenfalls weitergegeben werden.
Zusätzliche Speicherungszwecke sollten zur besseren Verständlichkeit mit einem eigenen Absatz abgetrennt werden. Wenn für die Nutzung weiterer Funktionen Einwilligungserklärungen verwendet werden, sollten diese in der Erklärung noch einmal aufgeführt werden.
Nutzt man technische Dienstleister, kann es sich rechtlich betrachtet auch um eine „Auftragsdatenverarbeitung“ handelt. In vielen Fällen kann es dann erforderlich sein, eine „Vereinbarung zur Auftragsdatenverarbeitung“ abzuschließen, mehr Informationen dazu folgen im weiteren Verlauf dieser Service-Reihe.
Schließlich ist es ratsam, am Ende des Textes zeitliche Angaben zu machen, von wann die Datenschutz- und Einwilligungserklärungen sind. Es ist sinnvoll und bei Einwilligungserklärungen sogar erforderlich, auch die alten Versionen der Texte anzubieten. Dabei sollte dargestellt werden, welche Version zu welchem Zeitraum gültig war.
Beispiel
Ein Beispiel für eine Datenschutzerklärung mit Kurzfassung, Angaben zur datenverarbeitenden Stelle und Detail-Erläuterungen zu weiteren Funktionen und Verarbeitungszwecken ist die Erklärung hier auf iRights.info:
Vorlage für eine einfache Datenschutzerklärung
Stellt eine Webseite nur statische Inhalte zum Abruf vom eigenen Server zur Verfügung, reicht eine minimale Datenschutzerklärung aus. In der Praxis wird das nur selten ausreichen, da Webseiten zum Beispiel üblicherweise Besuche messen, häufig interaktive Funktionen anbieten oder mit sozialen Netzwerken verzahnt sind (dazu bald mehr in dieser Reihe).
Umgekehrt kommt aber keine Website ohne Übermittlung von Inhalten aus. Hierzu muss eine Datenschutzerklärung lediglich darstellen, welche Daten bei einer solchen Anfrage übermittelt werden.
Dabei sollte auch angegeben werden, ob die Daten zu Sicherheitszwecken gespeichert werden. Der Betreiber muss dabei gewährleisten, dass das nicht länger als zulässig geschieht. Orientiert man sich an einem Urteil des Bundesgerichtshofs, sollte die Speicherdauer sieben Tage im Normalfall nicht überschreiten. Danach müssen die Daten gelöscht werden.
Eine Datenverarbeitung zur Übermittlung der Onlineinhalte lässt sich zum Beispiel wie folgt beschreiben. Der Text wird in der Regel nicht alle Funktionen eines Webangebots beschreiben, eignet sich aber als Ausgangspunkt:
Datenverarbeitung zur Übermittlung der Onlineinhalte
Zum Zweck der Übermittlung der von Ihnen aufgerufenen Webseite werden von Ihrem Browser typischerweise unter anderem folgende Informationen (im Rahmen von sogenannten HTTP-Requests) übersandt:
- Ihre IP-Adresse, eine Ziffernfolge, die Ihren derzeitigen Computeranschluss im Internet identifiziert.
- Die von Ihnen aufgerufene URL (die Webseite und ggf. weitere Parameter),
- Informationen zu dem von Ihnen verwendeten Browser und Betriebssystem, wie deren Name und Version
- sowie – unter Umständen – die Seite, von der aus Sie zu uns gelangt sind (Referrer-Information).
- Der Zeitpunkt der Anfrage.
Werden die Zugriffe auf die Webseite zu Sicherheitszwecken für sieben Tage protokolliert, bietet sich folgende Formulierung an:
Protokollierung zu Sicherheitszwecken
Die oben dargestellten Angaben können zudem für weitere sieben Tage in Protokolldateien gespeichert werden, um mögliche Störungen der Seite analysieren zu können. Sofern solche Störungen auftauchen, kann die Speicherung im Einzelfall auch länger andauern. Sie werden spätestens dann gelöscht, wenn sie zur Ermittlung der Ursachen der Störung nicht mehr erkennbar beitragen können.
Version in kindgerechter Sprache
Für Betreiber von Kinderseiten bietet es sich an, die Informationen auch noch einmal in kindgerechter Sprache darzustellen. Dies ist keine gesetzliche Pflicht, entspricht aber den pädagogischen Zielsetzungen vieler Seiten. Denkbar wäre es auch, die Informationen noch einmal in anderer Form aufzubereiten, zum Beispiel als Comic oder Video.
Formulierungsvorschlag
Damit du die Webseite sehen kannst, bekommen wir Informationen von deinem Computer. Wenn du eine unserer Webseiten aufrufst, fragt dein Computer einen unserer Computer nach einer bestimmten Internetadresse, der URL. Gleichzeitig schickt uns auch dein Computer folgende Informationen:
- eine Nummer (IP-Adresse), unter der er derzeit erreichbar ist und
- eine Reihe von anderen Daten. Beispielsweise welches Programm und welches Betriebssystem du verwendest.
- Manchmal teilt uns der Computer auch mit, von welcher Webseite aus du auf unsere Seite gekommen bist.
Damit sich unsere Webseite in deinem Computer öffnet, müssen wir deine IP-Adresse und die anderen Daten kurz speichern und verarbeiten.
Für den Fall, dass unser Computer Probleme hat, speichern wir alle Zugriffe vorsichtshalber für eine Woche. So können wir nachschauen, was genau passiert ist. Falls es solche Probleme gibt, kann es sein, dass wir die Daten auch länger speichern, damit wir Zeit haben, das Problem gründlich zu untersuchen. Danach werden die Daten gelöscht.
Checkliste zur Erstellung einer Datenschutzerklärung
- Welche Funktionen werden angeboten, zu welchen Zwecken?
- Welche Daten werden dabei erhoben?
- Ist angeben, wer die Daten verarbeitet und worauf sich die Erklärung erstreckt?
- Werden Daten zu Sicherheitszwecken gespeichert? Wenn ja, Speicherung aufführen und Begrenzung beachten
- Bei Änderungen: Sind die alten Versionen verfügbar? Sind die Zeiträume angegeben, in denen eine bestimmte Erklärung galt?
8.6.2018
DSGVO-Update: Datenschutzerklärungen
Die Datenschutz-Grundverordnung (DSGVO) hat die Transparenzpflichten deutlich verstärkt. Seitenbetreiber müssen also umfassender darüber informieren, wie sie personenbezogene Daten verarbeiten. Klargestellt wurde, dass der „Verantwortliche“ für die Datenverarbeitung und dessen Kontaktdaten genannt werden müssen. Verantwortlich kann eine natürliche oder juristische Person sein, in der Regel ist es der im Impressum genannte Betreiber.
Wer seine Impressumspflichten erfüllt hat, hat diese Angaben in der Regel bereits gemacht. Wenn ein Datenschutzbeauftragter bestellt wurde, muss eine Kontaktmöglichkeit wie die E-Mail-Adresse angegeben werden.
Wenn die Datenschutzerklärung keinen Hinweis darauf enthält, auf welcher oder welchen Rechtsgrundlagen die Daten verarbeitet werden, muss die Angabe ergänzt werden, etwa mit einem Hinweis auf eine „Einwilligung“ oder ein „berechtigtes Interesse“. Im letzteren Fall muss zudem genauer angegeben werden, welches spezifische berechtigte Interesse an der Verarbeitung besteht. Das könnte wie folgt aussehen:
Wir verfolgen als gemeinnütziger Verein der Jugendhilfe nach unserer Satzung das Ziel, Kindern altersgerechte Informationsangebote zur Verfügung zu stellen. Die Übermittlung der Inhalte verfolgt dieses berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Oder in kindgerechter Sprache:
Wir sind ein Verein, der für dich und andere Kinder Informationen anbietet. Damit wir das tun können, müssen wir Deine Daten verarbeiten. Denn ohne die Adresse deines Computers im Internet (deine IP-Adresse) wissen wir nicht, wohin wir die Inhalte schicken sollen.
Ebenfalls muss angegeben werden, wann die Daten zu löschen sind. In dem Beispiel zur Protokollierung zu Sicherheitszwecken im Beitrag unten ist eine solche Angabe bereits enthalten.
Zudem muss auf die Betroffenenrechte hingewiesen werden. Je nach Kontext kann es sich um Rechte auf Auskunft, Korrektur, Löschung, Sperrung und Beschwerden handeln. Das kann zum Beispiel wie folgt aussehen:
Sie haben bezüglich Ihrer Daten grundsätzlich folgende Rechte:
- Das Recht auf Auskunft zu Ihren Daten,
- das Recht auf Übertragung Ihrer Daten an Sie oder an einen anderen Dienstleister,
- das Recht auf Berichtigung von unrichtigen Daten,
- das Recht auf Löschung Ihrer Daten oder das Recht auf Einschränkung der Verarbeitung Ihrer Daten,
- das Recht der Verarbeitung zu widersprechen und
- das Recht, eine Einwilligung, die Sie abgegeben haben, zu widerrufen.
Darüber hinaus haben Sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.
Allerdings bestehen diese Rechte natürlich nicht in jedem Fall. Wer beispielsweise gesetzlich verpflichtet ist, bestimmte Daten aufzubewahren, etwa für die Steuererklärung, der kann auch nicht mit einem Löschungsanspruch zur Vernichtung der Daten verpflichtet werden.
Aufbau einer Datenschutzerklärung nach der DSGVO
Eine Datenschutzerklärung nach der DSGVO muss also zumindest folgende Fragen beantworten:
1. Wer? (Betreiber der Webseite, Empfänger der Daten, ggf. Datenschutzbeauftragter)
2. Was? (Welche Datenkategorien werden verarbeitet?)
3. Wozu? (Zwecke der Verarbeitung)
4. Warum dürfen die Daten verarbeitet werden? (Rechtsgrundlage)
5. Wie lange? (Speicherdauer)
6. Ihre Rechte
Wenn man über verschiedene Verarbeitungen einer Webseite in einer umfassenden Übersicht informieren will, kann es sich anbieten, einen allgemeinen Teil voranzuschicken, der die Angaben zu 1.) und 6.) enthält. In einem speziellen Teil lassen sich dann die Punkte 2.) bis 5.) für unterschiedliche Verarbeitungszwecke behandeln.
Die allgemeine Datenschutzerklärung sammelt dann die verschiedenen Arten, mit denen Daten im Kontext des jeweiligen Angebotes erhoben werden. Je nach Webseite kann dies recht umfangreich werden. Daher ist zu empfehlen, zur besseren Orientierung eine Übersicht über die verschiedenen Zwecke an den Anfang der Datenschutzerklärung zu stellen. Damit entsteht für eine typische Webseite mit einem Gästebuch und Nutzungsanalyse folgende Struktur:
A. Allgemeines
1. Wer? (Betreiber der Webseite, Empfänger der Daten, ggf. Datenschutzbeauftragter)
2. Übersicht (über die verschiedenen Zwecke die in Teil B. erläutert werden, in diesem Beispiel: Übermittlung, Seitenoptimierung, IT-Sicherheit und Kontaktformular)
3. Ihre Rechte
B. Verarbeitung zum Zweck der Übermittlung der Seiteninhalte
1. Was? (Welche Arten von Daten werden verarbeitet?)
2. Wozu? (Zwecke der Verarbeitung)
3. Warum dürfen die Daten verarbeitet werden? (Rechtsgrundlage)
4. Wie lange? (Speicherdauer)
C. Verarbeitung zur Seitenoptimierung
1. Was?
2. Wozu?
3. Warum?
4. Wie lange?
D. Verarbeitung zu Zwecken der IT-Sicherheit
1. Was?
2. Wozu?
3. Warum?
4. Wie lange?
E. Verarbeitung im Rahmen Ihrer Kontaktaufnahme über unser Kontaktformular
1. Was?
2. Wozu?
3. Warum? (hier z.B. Einwilligung, oder, fallweise, auch berechtigtes Interesse).
4. Wie lange?
Seitenbetreiber sind allerdings in der Gestaltung frei. Die hier vorgeschlagene schematische Herangehensweise erleichtert es den Lesern meist, die gesuchte Information zu finden. Manchmal – insbesondere bei komplexeren Diensten – kann sich aber sicher auch ein anderer Aufbau anbieten.
Es bleibt zu hoffen, dass sich in naher Zukunft ein einheitlicher Standard der Darstellung herausbildet. Im Idealfall könnten dann die Hinweise so ähnlich aussehen wie die Packungsbeilagen von Medikamenten. Zudem steht bereits in der DSGVO, dass es wünschenswert wäre, wenn wichtige Aspekte auch mit Bildsymbolen dargestellt werden könnten. Hier ist zu erwarten, dass die EU-Kommission einen Vorschlag unterbreitet.
Der Artikel steht unter der Creative-Commons-Lizenz Namensnennung 4.0 (CC BY).
4 Kommentare
1 Pragmaticus am 13. Juli, 2018 um 20:48
Toller Artikel, der in Sachen Datenschutzerklärung anschaulich alles Wichtige erklärt ohne Angst vor Abmahnungen zu machen :)
Danke hierfür.
Darf ich die Texte aus eurer Datenschutzerklärung als Grundlage für meine eigene Datenschutzerklärung nutzen oder sind die urheberrechtlich ohne Weiterverwendung geschützt?
2 Fred am 17. Januar, 2020 um 10:10
Hallo Pragmaticus,
da der Artikel unter der CC BY steht, sollten auch die Texte unter diesen Bedingungen verwendbar sein. Ich nehme an ein Backlink reicht hierauf.
Grüße
3 Jan Schallaböck am 17. Januar, 2020 um 11:08
Hallo,
in der Tat ist die Verwendung frei möglich, sofern eine “Attibution”, also ein kleiner Hinweis erfolgt. Diese kann unterschiedlich erfolgen und kommt auf den Einsatz an. Die Lizenz gewährt Ihnen maximale Freiräume: Sie können den Text als ganzes weiterveröffentlichen, müssen dabei aber den Hinweis auf Autor, Quelle und Lizenz vorhalten. Sie können aber auch ein aufbauendes eigenes urheberrechtliches Werk erstellen und das unter eine Lizenz ihrer Wahl stellen, oder sogar umfassend urheberrechtlich schützen. Ausgenommen sind dabei allerdings die Passagen, die sie von mir übernommen haben, die sie auch hier mit einem Hinweis, Autor und ursprüngliche Lizenz versehen müssen. Sie können hierbei wie bei Zitaten arbeiten, dürfen aber uneingeschränkt verwenden, also anders als im Rahmen eines klassischen (sog. Wissenschafts-)Zitats.
Mir würde in diesem Fall aber auch ein allgemeiner Hinweis genügen, der irgendwo auf der Seite steht und etwa so formuliert ist:
“Erstellt mit Material von Jan Schallaböck, ursprünglich veröffentlicht auf https://irights.info/artikel/datenschutz-webseiten-datenschutzerklaerung-aufbau unter der Creative-Commons-Lizenz Namensnennung 4.0 (CC BY).”
4 Nico am 28. Oktober, 2020 um 20:03
Hallo,
vielen Dank fuer die hilfreichen Informationen.
Der Beispieltext zu “Betroffenenrechte” ist im Vergleich zu anderen Beispieltexten sehr kurz. Ausserdem enthaellt er keinen Link zur Datenschutzaufsichtsbehoerde.
Damit ich auf Nummer sicher gehe, wollte ich Fragen, ob das dennoch soweit korrekt und aktuell ist?
Ziel ist es meine Datenschutzerklaerung so unkompliziert wie moeglich zu gestalten, aber dennoch rechtssicher.
Gruesse
Nico
Was sagen Sie dazu?