IHK Ratgeber

Datenschutzerklärung

user reading terms and conditions of website or service before clicking button Agree
© Anna Berkut

Inhaltsnavigation

Einleitung

Jeder Betreiber einer Website muss auf dieser eine Datenschutzerklärung bereitstellen. Die Datenschutzerklärung gibt dem Besucher der Website Auskunft darüber, welche seiner personenbezogenen Daten beim Besuch der Website verarbeitet werden. Jeder Betreiber ist in der Pflicht, da personenbezogene Daten wie eine IP-Adresse zwangsläufig immer erhoben werden. Ausgenommen von dieser gesetzlichen Pflicht sind private Websitenbetreiber, ein sog. „Haushaltsprivileg“. Fehlende oder unvollständige Datenschutzerklärungen können durch die Datenschutzaufsicht sanktioniert werden oder durch einen Wettbewerber ggf. abgemahnt werden.

Der Inhalt der Datenschutzerklärungen folgt einem modularen Aufbau – d. h. Inhalt und Umfang hängen von den Funktionen der Website ab. Mithilfe der folgenden Informationen erfahren Websitebetreiber, was eine Datenschutzerklärung beinhalten muss und worauf bei der Einbindung zu achten ist.

Wichtig: Die Angaben in den nachfolgenden Texten erheben keinen Anspruch auf Richtigkeit und Vollständigkeit. Wir sind bemüht, unsere Texte jederzeit aktuell zu halten. Dennoch ist es empfehlenswert, eine Überprüfung Ihrer Datenschutzerklärung durch einen Rechtsanwalt vornehmen zu lassen. Alternativ kann eine Datenschutzerklärung kostenlos mithilfe von Datenschutz-Generatoren erstellt werden. Zu beachten ist, dass die Regelungen im Telemediengesetz (TMG) zum Inhalt der Datenschutzerklärung durch die Datenschutzgrundverordnung (DSGVO) um zusätzliche Informationspflichten erweitert werden. Mithilfe der IHK-Checkliste zur Datenschutzerklärung können einzelne Verarbeitungstätigkeiten, wie z. B. Kontaktformular, auf Vollständigkeit überprüft werden.

Für wen ist eine Datenschutzerklärung im Internet ‎Pflicht‎

Keine Datenschutzerklärung benötigen lediglich Websitebetreiber, die ausschließlich zu persönlichen oder familiären Zwecken und damit ohne Bezug zu einer wirtschaftlichen oder beruflichen Tätigkeit (sog. Haushaltsprivileg) eine Website betreiben. Hierzu gehören nicht Betreiber privater Blogs oder einer ehrenamtlichen Tätigkeit. Vielmehr hat dieser Personenkreis wie auch Telemediendiensteanbieter nach TMG eine Datenschutzerklärung auf die Website zu stellen. Damit ist der Betreiber eines Online-Shops genauso verantwortlich wie der eines privaten Blogs. Denn diese sind aus Sicht des Datenschutzrechts sog. Verantwortliche für die veranlasste Datenverarbeitung. Damit verknüpft sind unter anderem die Einhaltung von Informationspflichten.

Selbst wer keine Namen und Adressen von Websitenbesuchern erfragt, erhebt personenbezogene Daten. Der Grund: Auch die IP-Adresse gehört zu den personenbezogenen Daten. In der Regel speichert bereits der Hosting-Anbieter die IP-Adressen, um über eine mögliche Rückverfolgbarkeit Angreifer identifizieren und so die Sicherheit der Website gewährleisten zu können. Ferner kann die Anzahl der Websitenbesucher hierüber statistisch und für ausgewählte Zeiträume ausgewertet werden.

Zurück zur Übersicht

Datenschutzerklärung für Website, Blog und Co.

Websitenbesucher müssen Auskunft darüber erlangen, wer welche Daten zu welchen Zwecken auf welcher Rechtsgrundlage und wie lange verarbeitet. Die Datenschutzerklärung muss hierüber aufklären. Neben der Speicherung von IP-Adressen in Server-Logfiles nutzen die meisten Websites zusätzlich Cookies, die Informationen über das Nutzerverhalten enthalten. Die Erläuterung des Verarbeitungsprozesses durch Server-Logfiles und Cookies ist in diesen Fällen wichtig. Kommen Tracking-Tools zur Analyse des Besucherverhaltens zum Einsatz, muss die Datenschutzerklärung darüber ebenfalls informieren. Genauso sieht es bei der Verwendung von Social-Media-Plugins und allen weiteren Diensten von Drittanbietern aus. Datenschutz-Generatoren fragen die unterschiedlichen Verarbeitungstätigkeiten ab und liefern hierfür Mustertexte.

Zurück zur Übersicht

Datenschutzerklärung für Onlineshops

Die Datenschutzerklärungen von Onlineshops müssen u.a. beschreiben, welche Kundendaten im Zuge eines Bestellvorgangs im Hintergrund abgefragt und verarbeitet werden. Vor allem wenn Kunden ein Benutzerkonto erstellt haben und Newsletter oder Werbemails beziehen, sind die entsprechenden Verarbeitungstätigkeiten in der Datenschutzerklärung zu beschreiben. Falls der Betreiber eines Onlineshops vor einem Vertragsabschluss die Bonität eines Kunden prüft, muss die Datenschutzerklärung einen entsprechenden Passus enthalten.

Zur Analyse des Nutzerverhaltens und zur Verbesserung des Onlineauftritts arbeiten viele Shop-Betreiber mit Analysetools, sog. Tracking-Tools (Reichweitenmessung). Ein Hinweis auf die Verwendung solcher Tracking-Tools gehört in die Datenschutzerklärung. Ebenso integrieren viele Administratoren von Onlineshops Social-Media-Plugins. Deren Einbindung darf nur in einer datenschutzkonformen Weise (als sog. 2-Klick-Lösung oder als Shariff-Lösung) erfolgen. Diese Plugins erheben ebenfalls personenbezogene Daten, weshalb eine entsprechende Beschreibung der Datenverarbeitung in der Datenschutzerklärung nicht fehlen darf.

Hinweis: Auch die Sicherheit und der Schutz von Kundendaten auf der Website sind zu gewährleisten. Damit zum Beispiel die Registrierung und spätere Einkäufe sicher erfolgen können, muss der Internetauftritt über ein SSL-Zertifikat verfügen. Die HTTPS-Verschlüsselung (angemessen nach dem Stand der Technik) garantiert die verschlüsselte Übertragung der Kundendaten.

Zurück zur Übersicht

Die richtige Behandlung von Nutzerkonten

Zur Kundenbindung und für einen besseren Service können Besucher von Onlineshops in der Regel ein Benutzerkonto erstellen. Dazu gehört ein Warenkorb. Zum Teil bieten die Onlineshops auch die Anzeige der Einkaufshistorie, der zuletzt angeschauten Produkte oder Produktempfehlungen (Werbung) an. Gibt es bei Ihrem Shop die Möglichkeit zur Erstellung eines Benutzerkontos, ist die entsprechende Datenverarbeitung in der Datenschutzerklärung zu beschreiben. Sie umfasst das Benutzerkonto, den Bestellvorgang, die Bonitätsprüfung und Produktempfehlungen (zumeist über Cookies oder sog. Third-Party-Cookies).

Wichtig: Für die Datenschutzerklärung kann es kein allgemeingültiges Muster geben.

Tipp: Jeder Shop ist anders aufgebaut. Klären Sie mit Ihrem Dienstleister die einzelnen Funktionalitäten Ihrer Website und beschreiben Sie die einzelnen personenbezogenen Datenverarbeitungen strukturiert Punkt für Punkt in der Datenschutzerklärung. Im Zweifel ist eine rechtliche Beratung zu empfehlen.

Zurück zur Übersicht

Darf die Datenschutzerklärung im Impressum sein?

Ein Impressum und eine Datenschutzerklärung gehören auf jede Website. Nach Angaben im Telemediengesetz (TMG) muss der Besucher einer Website jederzeit in der Lage sein, auf die Datenschutzerklärung zuzugreifen. Die Datenschutzerklärung muss mit einem Klick von jeder Unterseite erreichbar und eindeutig gekennzeichnet sein.

Es ist nicht erlaubt, die Datenschutzerklärung einfach unter dem Punkt „Impressum“ zu verlinken. Sie darf mit im Impressum stehen, dann muss die von überall erreichbare Verlinkung jedoch „Impressum und Datenschutz“ oder „Impressum/Datenschutz“ heißen. Dieses Vorgehen bietet sich an, wenn die Einbindung zweier separater Links beispielsweise zu aufwändig wäre.

Die Datenschutzerklärung im Impressum zu verstecken, ist nicht erlaubt. Ohne ausreichende Kennzeichnung handelt es sich um einen Verstoß gegen die Regeln zum Datenschutz (Transparenzgebot). Wo (oben, unten, links oder rechts) sich der Link zum Datenschutzhinweis befinden soll, ist nicht eindeutig geklärt. Meist binden Websitebetreiber den Link im Footer (ganz unten) ein, so ist dieser immer mit einem Klick erreichbar.

Zurück zur Übersicht

Datenschutzerklärung für Mitarbeiter

In Betrieben setzt der Personaldatenschutz dem Sammeln von Mitarbeiterdaten Grenzen. Allerdings müssen Arbeitgeber auf ihren Intranetseiten nur dann eine Datenschutzerklärung bereitstellen, wenn sie über das betriebliche IT-Netz eine Privatnutzung durch Mitarbeiter zulassen. Denn sie sind dann ein Telediensteanbieter gegenüber den Mitarbeitern.

Ist eine Privatnutzung des betrieblichen Internetzugangs hingegen ausgeschlossen, entfällt die Pflicht zur Bereitstellung einer Datenschutzerklärung. Denn in diesem Fall ist der Arbeitgeber kein Telediensteanbieter.

Allerdings sind in beiden Fällen nach der DSGVO gegenüber Mitarbeitern Informationspflichten zu erfüllen. Arbeitgeber können entscheiden, wie sie Informationspflichten umsetzen, entweder Gesamtinformation auf Papier oder im Intranet.

Folgende Punkte müssen in Informationspflichten aufgeführt sein:

Informationen zur Verarbeitung der Daten

Hier gilt grundsätzlich: Personenbezogene Daten eines Mitarbeiters werden vor Eintritt ins Unternehmen nur zum Zweck der Prüfung der Bewerbung und ggf. Begründung eines Vertragsverhältnisses erhoben. Die Verarbeitung der Daten findet während der Beschäftigungszeit zur Durchführung und/oder Beendigung des Beschäftigungsverhältnisses statt. Ist der jeweilige Zweck erreicht, werden die Daten des Mitarbeiters unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen gelöscht. In der Regel handelt es sich um sechs (Geschäftsbriefe) oder zehn Jahre (steuerrelevante Unterlagen), rund um die Altersvorsorge hat eine Aufbewahrung so lange zu erfolgen, wie dies im Einzelfall erforderlich ist, um die Altersvorsorge sicher zu stellen.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung der personenbezogenen Daten kann insbesondere auf folgenden Rechtsgrundlagen der DSGVO basieren:

  • Art.6: Rechtmäßigkeit der Verarbeitung:
    • Art. 6 Abs. 1 lit. a) auf Basis Ihrer Einwilligung. Allerdings ist für den Vertragsabschluss oder die Fortführung eines Vertrags keine Einwilligung nötig.
    • Art. 6 Abs. 1 lit. b) zur Durchführung, Begründung und Beendigung des Vertragsverhältnisses
      z. B.
      um rechtliche Ansprüche aus dem Arbeitsverhältnis geltend zu machen, auszuüben oder zu verteidigen
    • Art. 6 Abs. 1 lit. c) um eine rechtliche Verpflichtung zu erfüllen
      z. B.
      um behördliche Auflagen wie beispielsweise das Führen eines Fahrtenbuchs zu vermeiden
    • Art. 6 Abs. 1 lit. f) um ein berechtigtes Interesse zu wahren

Die berechtigten Interessen eines Unternehmens können unter anderem auf folgenden Zielen beruhen:

  • zur Verbesserung der Personalplanung
  • um elektronische Zugangskontrollen durchzuführen
  • um die Compliance rund um Auflagen, Sicherheitsvorschriften und vertraglichen Verpflichtungen sicherzustellen
  • um unnötige Ausgaben zu vermeiden

Folgende personenbezogene Daten werden verarbeitet:

  • für das Auswahl- und Einstellungsverfahren: persönliche Daten des Bewerbers mit Name, Geburtsdatum, Lebenslauf, Staatsangehörigkeit
  • für die Kontaktaufnahme: private Kontaktdaten mit Adresse, Telefonnummer und E-Mail-Adresse
  • dienstliche Kontaktdaten wie E-Mail und Telefonnummern
  • für die Entgeltabrechnung: Zahlungs- und Identifikationsdaten, dazu gehören Daten aus dem Personalausweis bzw. eine Arbeitserlaubnis, Geburtsort und Familienstand, Krankenkassenmitgliedschaft, Steueridentifikationsnummer, Freibeträge, Lohnsteuerklasse, Konfessionszugehörigkeit für die Kirchensteuer und die Kontonummer
  • Daten zur Zeiterfassung, dazu zählen Arbeitszeitkonten, Urlaubszeiten und gegebenenfalls Schichtpläne
  • im Rahmen von Personalscreenings erhobene Daten: Je nach Beschäftigung kann ein polizeiliches Führungszeugnis oder eine Zuverlässigkeitsprüfung nötig sein.
  • Zur Leistungs- und Verhaltenskontrolle können Daten unter anderem für die Messung der Zielerreichung erhoben werden. So lässt sich ein variabler Vergütungsanteil berechnen.
  • sonstige Daten der Personalverwaltung rund um den Arbeitsschutz, die betriebliche Gesundheitsvorsorge, die Inhaberschaft eines Führerscheins etc.

Empfänger der Daten lassen sich in verschiedene Kategorien einteilen:

  • Steuerberater für die Abrechnungen
  • Kranken-, Unfall- und Sozialversicherungsträger und weitere Versicherungsunternehmen
  • Behörden wie Arbeitsagenturen, Sozialkassen und Finanzbehörden
  • Der betriebsärztliche Dienst
  • Weitergabe betrieblicher Kontaktdaten an Kunden und Geschäftspartner

Bestehen der Betroffenenrechte

Auf folgende Betroffenenrechte müssen Sie sowohl in der Datenschutzerklärung wie in den Informationspflichten hinweisen: Recht auf Auskunft, Berichtigung, Löschung, Recht auf Vergessenwerden, Einschränkung oder Datenübertragbarkeit und Recht auf Widerspruch bei erteilten Einwilligungen sowie das Beschwerderecht bei der Aufsichtsbehörde. Musterformulierungen finden Sie in dem IHK-Muster Informationspflichten nach Art. 13 und 14 DSGVO.

Zurück zur Übersicht

Auftragsverarbeitungsvertrag

Zudem ist ein Websitenbetreiber verpflichtet, mit seinen Dienstleistern dann einen Auftragsverarbeitungsvertrag zu schließen, wenn diese in seinem Auftrag (weisungsgemäß) personenbezogene Daten verarbeiten. Dies ist zum Beispiel immer dann verpflichtend, wenn der Hosting-Anbieter die IP-Adressen der Besucher bei Seitenzugriffen speichert oder die Informationen in dem Kontaktformular auslesen könnte. Die Datenverarbeitung wird in diesen Fällen auf einen Dritten, den Hosting-Anbieter, ausgelagert. Auch bei der Verwendung der Tracking-Tools wird der Abschluss eines Auftragsverarbeitungsvertrages mit den jeweiligen Dienstleister notwendig sein, sofern die Daten auf dessen Server ausgewertet und in sonstiger Weise verarbeitet werden. Denn auch beim anonymisierten Tracking erheben diese im ersten Schritt die IP-Adressen der Websitenbesucher, eher sie diese im zweiten Schritt anonymisieren.

Zurück zur Übersicht

Häufige Fragen zur Datenschutzerklärung

Zusammenfassung

Jede Website muss über eine Datenschutzerklärung sowie über ein Impressum sowie ggf. über Informationspflichten nach DSGVO verfügen. Dies betrifft alle Betreiber von Websiten, auch wenn sie der Ansicht sind, sie würden direkt keine personenbezogenen Daten verarbeiten. Jedoch basiert die Kommunikation zwischen Servern auf IP-Adressen (personenbezoges Datum), so dass immer eine Datenschutzerklärung erforderlich ist. So z. B. speichert der Hosting-Anbieter bei Seitenzugriffen die IP-Adressen der Websitenbesucher. Da in jenen Fällen die Datenverarbeitung auf einen Dritten, den Hosting-Anbieter, ausgelagert wird, ist neben der Erstellung einer Datenschutzerklärung auch ein Auftragsverarbeitungsvertrag mit dem Hosting-Anbieter zu schließen. Die Datenschutzerklärung informiert die Besucher einer Website darüber, wer welche Daten zu welchen Zwecken auf welcher Rechtsgrundlage, wie lange beim Besuch der Website verarbeitet und welche Betroffenenrechte bestehen. Werden auf Websites Tracking-Tools zur Analyse des Nutzerverhaltens und Social-Media-Plugins verwendet, müssen diese datenschutzkonform eingesetzt werden. Zusätzlich muss jeder einzelner verwendeter Dienst/Datenverarbeitung in der Datenschutzerklärung beschrieben werden. Die Missachtung datenschutzrechtlicher Vorgaben kann durch die Datenschutzaufsicht sanktioniert und ggf. wettbewerbsrechtlich aufgegriffen werden.‎

Zurück zur Übersicht

IHK-Webinar: Rechtssicher durchstarten - Datenschutz-Stolperfallen bei Webseiten und Online-Shops