In puncto Datenschutz müssen Unternehmen so einiges beachten. Wird das Thema nicht ernst genommen, drohen im schlimmsten Falle Bußgelder in empfindlicher Höhe. Wer nicht genau Bescheid weiß, sollte sich idealerweise von einem Datenschutzexperten beraten lassen. Denn Unternehmen müssen nicht nur technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau zu erzielen. Oft muss auch ein Datenschutzbeauftragter bestellt werden. Und noch eine Sache darf auf keinen Fall außer Acht gelassen werden: Die Datenschutzerklärung auf der Unternehmenswebseite. Wir verraten Ihnen, was diese unbedingt enthalten muss.
Wer benötigt eine Datenschutzerklärung?
Bevor wir klären, was eine rechtssichere Datenschutzerklärung enthält, möchten wir erst einmal darüber informieren, wer bzw. welche Website eine Datenschutzerklärung braucht. Grundlegend ist eine Datenschutzerklärung immer dann Pflicht, wenn personenbezogene Daten verarbeitet werden. Weil bei Webseiten in der Regel standardmäßig IP-Adresse und Verweildauer von Besuchern protokolliert werden, muss mehr oder weniger jede Webseite eine Datenschutzerklärung besitzen. Das gilt auch für private Webseiten. Der notwendige Umfang der Datenschutzerklärung hängt vom Umfang der jeweiligen Datenverarbeitung ab.
Warum sind IP Adressen personenbezogene Daten?
Gemäß Artikel 4 Nr. 1 DSGVO sind personenbezogene Daten: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Weil sich eine IP-Adresse einem Internetanschluss und dementsprechend auch dem Anschlussinhaber zuordnen lässt, gelten IP-Adressen als personenbezogene Daten.
Die Ziele der Datenschutzerklärung
Eine Datenschutzerklärung soll Webseitenbesucher darüber informieren, welche personenbezogenen Daten von wem in welchem Umfang erhoben und gegebenenfalls ausgewertet werden. Zusätzlich muss die Datenschutzerklärung die Nutzer darüber aufklären, dass der Datenverarbeitung in einem gewissen Umfang widersprochen werden und die Löschung bereits erhobener Daten beauftragt werden kann.
Die Ziele der Datenschutzerklärung
Eine Datenschutzerklärung soll Webseitenbesucher darüber informieren, welche personenbezogenen Daten von wem in welchem Umfang erhoben und gegebenenfalls ausgewertet werden. Zusätzlich muss die Datenschutzerklärung die Nutzer darüber aufklären, dass der Datenverarbeitung in einem gewissen Umfang widersprochen werden und die Löschung bereits erhobener Daten beauftragt werden kann.
Datenschutz-Basics für Unternehmen
Was müssen Unternehmen im Bereich Datenschutz (gemäß DSGVO und BDSG-neu) beachten, welche technischen und organisatorischen Maßnahmen sind zu treffen und welche Strafen drohen bei Datenschutzverstößen?
Inhalt der Datenschutzerklärung
Die Datenschutzerklärung auf einer Webseite muss folgende Fragen klären:
- Welche personenbezogenen Daten werden durch die Nutzung der Website erhoben (z. B. IP-Adresse, Nutzungsdauer, Name und E-Mail bei Kommentarfunktionen etc.)?
- Wie werden die Daten erhoben (Cookies etc.)?
- Was ist der Zweck der Datenverarbeitung (z. B. Anzeige personalisierter Werbung)?
- Welche rechtliche Grundlage gibt es für die Datenverarbeitung (Art. 6 der DSGVO)?
- Durch wen werden die Daten erhoben und werden diese an Dritte weitergeleitet (Google Analytics, Piwik, AdSense, Affiliate-Partner, Plugin-Anbieter, YouTube, Google Fonts etc.)?
- Was passiert konkret mit den personenbezogenen Daten?
- Gibt es einen grenzüberschreitenden Datenverkehr?
- Durch welche Maßnahmen versucht der Webseitenbetreiber, die Sicherheit der Daten zu gewährleisten (z. B. SSL-Verschlüsselung)?
- Welche Rechte und Möglichkeiten hat man als User hinsichtlich der Berichtigung, Löschung, Sperrung (falscher) Daten?
Das bedeutet: Je mehr Plugins (z. B. bei WordPress) und Analysetools Sie verwenden, desto umfangreicher muss auch Ihre Datenschutzerklärung ausfallen.
Braucht meine Firma einen Datenschutzbeauftragten?
Falls Sie einen Datenschutzbeauftragten haben, müssen Sie dessen Kontaktdaten in der Datenschutzerklärung (E-Mail reicht) angeben. Doch ab wann ist ein Datenschutzbeauftragter überhaupt Pflicht?
Wichtig: Datenschutzerklärung korrekt platzieren
Die Datenschutzerklärung muss von jeder Unterseite der Website erreichbar / anklickbar sein. Der Link ist dementsprechend gut sichtbar zu platzieren (z. B. im Footer oder dem Hauptmenü) und richtig zu benennen. Wenn Sie die Datenschutzerklärung dem Impressum hinzufügen wollen, müssen Sie den Link entsprechend umbenennen (z. B. in „Datenschutzerklärung & Impressum“). Besser ist es, für die Datenschutzerklärung eine gesonderte Unterseite zu erstellen.
Datenschutzerklärung erstellen / prüfen lassen
Gehen Sie auf Nummer sicher und lassen Sie Ihre Datenschutzerklärung von unseren Experten erstellen. Kostenlose Vorlagen sind häufig unvollständig. Sie haben schon eine Datenschutzerklärung? Gerne prüfen unsere Datenschutzspezialisten diese bezüglich ihrer Rechtssicherheit.
Impressum nicht vergessen
Neben der Datenschutzerklärung ist auch das Impressum für die meisten Webseiten Pflicht. Erfahren Sie, welche Angaben ein rechtssicheres Impressum unbedingt enthalten muss.
Abmahnungen vermeiden
Seit 2016 gilt das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“. Das bedeutet, dass nicht nur gewerbliche Webseitenbetreiber, sondern auch Betreiber von privaten Internetseiten durch Verbraucherschutz- und Wettbewerbsverbände abgemahnt werden können, wenn eine Datenschutzerklärung fehlt oder fehlerhaft ist.
Zwar entstehen in der Regel keine Schadensersatzforderungen, dafür müssen Betroffene aber die Kosten der Abmahnung tragen. Diese beziffern sich auf rund 100 bis 200 Euro. Zudem muss eine Unterlassungserklärung abgegeben werden, die häufig eine Vertragsstrafe von bis zu 2.500 Euro enthält.
