Zuletzt aktualisiert am 17. Dezember 2024
Was ist eine Datenschutzerklärung?
Eine Datenschutzerklärung ist ein Rechtsdokument, das auf einer Website platziert wird und das die Besucher der Website über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten informiert.
Eine Datenschutzerklärung muss die Besucher der Website klar und verständlich darüber informieren,
- welche personenbezogenen Daten verarbeitet werden,
- zu welchen Zwecken diese Daten verarbeitet werden,
- wer die Daten verarbeitet,
- die Rechtsgrundlage für die Datenverarbeitung und
- welche Rechte den Besuchern der Website zustehen und wie sie sie ausüben können.
Was muss in einer Datenschutzerklärung stehen?
Dem Nutzer muss spätestens bei Beginn der Inanspruchnahme von Internetleistungen verbindlich mitgeteilt werden, welche seiner persönlichen Daten zu welchem konkreten Zweck in welcher Weise erhoben, bearbeitet, gespeichert oder sogar weitergegeben werden. Die EU-Datenschutzgrundverordnung (DSGVO) erhöht hier die Anforderungen in der Weise, dass bei Verwendung von Fachausdrücken und branchentypischen Redewendungen auf die allgemeine Verständlichkeit geachtet werden muss. Eine Datenschutzerklärung muss also auch für solche Nutzer verständlich sein, die sich der englischlastigen Fachsprache im IT-Bereich nicht immer gewachsen fühlen.
Für wen ist die Datenschutzerklärung von RECHTSDOKUMENTE geeignet?
Jeder Betreiber einer Website in Deutschland, beim Besuch deren personenbezogene Daten erhoben und verarbeitet werden, muss eine Datenschutzerklärung bereitstellen. Mit unserer Vorlage kann eine Datenschutzerklärung für Onlineshops und andere kommerzielle Websites sowie für private Websites erstellt werden.
Was passiert bei fehlenden oder falschen Datenschutzerklärungen?
Wenn Sie für die Webseite Ihres Online-Shops oder Ihrer persönlichen Homepage keine Datenschutzerklärung erstellen, verstoßen Sie gegen Ihre gesetzlichen Pflichten. In einem solchen Fall droht eine Abmahnung.
Fehlt es an einer Datenschutzerklärung oder erweist sie sich als inhaltlich oder formell fehlerhaft, droht neben einer Abmahnung auch das Verhängen einer Geldbuße, die von der Schwere des Verstoßes abhängt. Die DSGVO sieht einen Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Darüber hinaus kann bei Datenschutzverstößen die jeweilige Aufsichtsbehörde eingreifen.
Was ist Datenverarbeitung?
Die Datenverarbeitung umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Benutzerdaten.
Was sind Cookies?
Cookies sind kleine Textdateien, die den Browserverlauf und das Userverhalten auf einer Webseite speichern.
Viele Websites verwenden Cookies. Diese werden verwendet, um Benutzer zu erkennen und ihnen das Surfen auf einer Webseite zu erleichtern, indem beispielsweise ihre Zugriffsdaten nicht bei jedem Besuch erneut eingegeben werden müssen oder indem erkannt wird, was der Benutzer bereits gekauft hat. Durch die Verwendung von Cookies können persönliche Nutzerprofile erstellt werden.
Was sind Zugriffsdaten (Server-Logs)?
Mittels Speicherung der Zugriffsdaten (Server-Logs oder Logfiles) können Websitebetreiber die Aktivitäten auf ihren Seiten nachvollziehen und Fehler ausfindig machen. Mit Zugriffsdaten (Server-Log) können Sie sehen, welche Suchmaschinen Ihre Website crawlen und wie sich ein Besucher auf der Website verhält. Logfiles dürfen jedoch nicht zur Auswertung der Verhaltensweisen genutzt werden. Sie dürfen auch nicht mit anderen gesammelten Daten in Verbindung gebracht werden.
Es gibt viele Attribute der Zugriffsdaten. Folgende Daten werden am häufigsten gespeichert:
- Browsertyp und Browserversion
- Referrer URL
- verwendetes Betriebssystem
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse
Wir haben Textbausteine für folgende Webanalyse Tools in unserer Datenschutzerklärung:
- Google Analytics
- Google Ads (vormals AdWords) und Google Conversion-Tracking
- Google Remarketing
- Google AdSense
- Google Fonts (vormals Google Web Fonts)
- WordPress Stats
- Matomo (vormals Piwik)
Was ist Google Analytics?
Google Analytics ist ein nützliches Analysetool, mit dem Sie die Leistung Ihrer Website verstehen und das Verhalten und die Bedürfnisse Ihrer Kunden analysieren können. Das Tool liefert Ihnen Informationen über die Anzahl der Besucher Ihrer Website und die Leistung aller mit dem Analytics-Tracking-Code gekennzeichneten Unterseiten, sowie demografische Daten wie Alter, Geschlecht oder Standort der Website-Besucher sowie Informationen darüber, wie und wie lange Benutzer mit Ihrer Website interagieren.
Datenschutz und Google Analytics
Mit Analytics können Sie eine Vielzahl von Daten erheben – auch solche, die im Sinne der DSGVO als personenbezogene Daten zu verstehen sind, wie etwa die Erhebung der IP-Adresse. Trotzdem gibt es eine Möglichkeit, das Tool gemäß der DSGVO sicher zu verwenden. Dazu sind einige Einstellungen notwendig.
Wenn Sie Google Analytics datenschutzkonform nutzen möchten, müssen Sie folgende Schritte ergreifen: die Anpassung der Datenschutzerklärung auf Ihrer Website, einschließlich der Möglichkeit, der Datenspeicherung zu widersprechen. Zudem müssen Sie mit Google einen Vertrag zur Auftragsverarbeitung abschließen und durch Änderung des Tracking-Codes eine anonymisierte Erfassung der IP-Adressen der Nutzer sicherstellen.
Sehen Sie sich auch Ihre Einstellungen zur Aufbewahrungsfrist der in Analytics erfassten Daten an. Standardgemäß beträgt die Frist zur Datenaufbewahrung lediglich zwei Monate. Bei bestimmten demografischen Informationen, einschließlich Alter, Geschlecht und Interessen, stellt dies die längstmögliche Speicherdauer dar. Für die Speicherung von Ereignis- und Nutzerdaten können Sie mit unserer Vorlage rechtskonform zwischen dem vorgegebenen Standard von 2 Monaten und einem Maximum von 14 Monaten wählen.
Was ist Matomo?
Matomo (ehemals Piwik) ist eine kostenlose, webbasierte Open-Source-Software zur Webanalyse. Matomo gilt als die wichtigste Alternative zu Google Analytics. Das Programm gibt dem Benutzer die vollständige Kontrolle über alle gesammelten Daten.
Wenn Ihre Website mit einer Social-Media-Plattform verbunden ist, sollten Sie dies in Ihrer Datenschutzerklärung erwähnen.
Für eine datenschutzkonforme Nutzung von Social Media Plugins müssen die Buttons passiv, d.h. deaktiviert auf der Website eingebunden werden. Sodann muss eine Einwilligung zur Übermittlung personenbezogener Daten eingeholt werden. Hierfür stehen Ihnen die folgenden gängigen Optionen zur Verfügung:
-
Die Shariff-Lösung:
Es sind HTML-Links, die von den Seitenbetreibern individuell gestaltet werden können. Die Verbindung zu Social Media wird erst dann hergestellt, wenn der Nutzer aktiv auf den Button geklickt hat. Vorher werden keinerlei Daten an die Betreiber der Social-Media-Kanäle gesendet, auch nicht in anonymisierter Form.
-
Die Zwei-Klick-Lösung:
Die Buttons sind standardmäßig inaktiv und müssen erst durch den Nutzer bewusst aktiviert werden, um sie zu benutzen. Beim Hovern über die Sharing-Schaltfläche wird der Nutzer über die Datenweitergabe informiert. Mit Klick auf den Button willigt er in die Datenübermittlung ein und aktiviert die Verbindung zum Netzwerkbetreiber. Erst mit dem zweiten Klick wird die Einwilligung erteilt und die gewünschte Aktion durchgeführt.
Die Datenschutzerklärung von RECHTSDOKUMENTE enthält die bei der Einbindung von folgenden sozialen Medien erforderlichen Passagen vor:
- Facebook
- Google+ Plugin
- Instagram
- LinkedIn
- Pinterest
- Twitter
- Vimeo Videos
- Xing
- YouTube
Was ist bei der Einbindung von Google Maps zu beachten?
Google Maps ist ein Internet-Kartendienst von Google. Mit Google Maps können Sie per PC, Tablet oder App online nach genauen Standorten von Städten, Sehenswürdigkeiten, Unterkünften oder Unternehmen suchen. Sind Unternehmen auf Google My Business vertreten, werden neben dem Standort weitere Informationen zum Unternehmen angezeigt.
Als Website-Betreiber können Sie den Google-Service für Ihre Zwecke nutzen, indem Sie Ausschnitte von Google Maps auf Ihrer Homepage verwenden. So können Sie den Standort Ihres Unternehmens markieren und in dem Kartenausschnitt gleich eine Anfahrts- bzw. Wegbeschreibung anzeigen. Um die Anfahrt zu verdeutlichen, können Kartenausschnitte eines Ortes per HTML-Code in eine Website eingebunden werden. Google Maps zeigt die Erdoberfläche als Straßenkarte oder als Luft- oder Satellitenbild. Dank der Street View-Bilder und den hochwertigen Satellitenbildern sind sehr genaue Darstellungen möglich.
Damit Google Maps seinen vollen Service anbieten kann, muss das Unternehmen Daten von Website-Nutzern/-Besuchern erfassen und speichern. Dazu gehören die eingegebenen Suchbegriffe, die IP-Adresse sowie die Breiten- und Längenkoordinaten. Bei Nutzung der Routenplaner-Funktion auf der Website wird auch die eingegebene Startadresse gespeichert. Diese Datenspeicherung findet jedoch auf der Website von Google Maps statt. Hierüber können Sie die Nutzer/Besucher Ihrer Website nur informieren, aber nichts beeinflussen. Sofern Sie Google Maps in Ihre Website eingebunden haben, platziert Google mindestens ein Cookie (Name: NID) in dem Browser der Besucher Ihrer Website. Dieses Cookie speichert Daten über ihr Nutzerverhalten. Google verwendet diese Daten in erster Linie, um die eigenen Dienste zu optimieren und um individuelle, personalisierte Werbung anzuzeigen.
Google speichert einige Daten für einen bestimmten Zeitraum. Für andere Daten bietet Google lediglich die Möglichkeit an, diese manuell zu löschen. Das Unternehmen anonymisiert auch Informationen in Server-Logs, indem es einen Teil der IP-Adresse und Cookie-Informationen nach 9 bzw. 18 Monaten löscht.
Was ist beim Versand von Newslettern zu beachten?
Newsletter sind Massen-E-Mails, die mit Hilfe eines E-Mail-Programms an eine bestimmte Gruppe von Abonnenten gesendet werden. Im Gegensatz zu Spam-E-Mails handelt es sich hierbei um Wunsch-E-Mails, in deren Zusendung die Empfänger ausdrücklich eingewilligt haben, weil sie sich für den Inhalt des Newsletters interessieren.
Datenschutz ist bei Newslettern wichtig, da sie nur mit personenbezogenen Daten versendet und personalisiert werden können.
Was ist CleverReach?
CleverReach ist ein deutsches E-Mail-Marketing-Tool. Mit CleverReach können Sie Newsletter, individuelle Mailings, E-Mail-Kampagnen, Autoresponder und Trigger-Mailings erstellen und versenden. Auch A/B-Tests sind möglich.
Webseitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie mit CleverReach einen Vertrag zur Auftragsverarbeitung abgeschlossen haben. Sie müssen darlegen, wie CleverReach die Nutzerdaten verwendet. Außerdem müssen Seitenbetreiber erklären, warum sie sich für CleverReach entschieden haben, welche personenbezogene Daten sie sammeln, wie lange sie diese Daten speichern möchten, welche Rechtsgrundlage dies erlaubt (Art. 6 Abs. 1 S. 1 DSGVO) und dass die Nutzer ihrer Einwilligung zur Datenerhebung jederzeit widersprechen können. Diese Pflichten sind in § 13 Abs. 1 DSGVO geregelt.
Datenschutz und das Amazon Partnerprogramm
Das Amazon PartnerNet ist das eigene Partnerprogramm von Amazon. Jeder kann sich dort kostenlos registrieren und individuelle Affiliate-Links zu jedem Produkt auf Amazon erstellen. Sobald jemand auf diesen Link klickt und das Produkt kauft, erkennt das System, über wen der Kauf getätigt wurde und ordnet die Verkaufsprovision automatisch dem entsprechenden Konto zu.
Durch die Nutzung des Amazon-Partnerprogramms können Daten des Website-Nutzers an Amazon übermittelt, gespeichert und verarbeitet werden. In der Datenschutzerklärung müssen Sie Ihre Website-Nutzer/Besucher darüber informieren, um welche Daten es sich handelt, warum Sie das Programm nutzen und wie sie die Datenübertragung verwalten bzw. verhindern können.
Online-Zahlungen und Datenschutz
Bei Online-Zahlungen werden die folgenden sensiblen personenbezogenen Informationen ausgetauscht:
- Vorname und Nachname
- Rechnungs- und Lieferanschrift
- E-Mail-Adresse
- Rechnungs- und Bezahldaten
- Telefonnummer
Neben der Datenerhebung durch Drittanbieter (Cookies) beim Besuch des Online-Shops geben Händler personenbezogene Daten manchmal an Wirtschaftsauskunfteien, Zahlungsdienstleister, Großhändler oder Versandunternehmen weiter.
Welche Zahlungsanbieter sind in der Datenschutzerklärung von RECHTSDOKUMENTE verfügbar?
Sie können folgende Zahlungsanbieter in Ihre Datenschutzerklärung integrieren:
- Amazon Payments
- American Express
- Apple Pay
- Discover
- giropay
- Google Pay
- Klarna
- Mastercard
- PayPal
- Sofortüberweisung
- Visa
Was macht ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter überwacht die Einhaltung der Datenschutzbestimmungen und ist der Ansprechpartner für Datenschutzfragen.
Wer benötigt einen Datenschutzbeauftragten?
Die EU-DSGVO legt fest, wann die Geschäftsführung zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. In der Neufassung des Bundesdatenschutzgesetzes (BDSG) hat der deutsche Gesetzgeber weitere Fälle festgelegt, wenn die Bestellung eines Datenschutzbeauftragten verpflichtend ist.
Benennungspflicht nach DSGVO
Die Pflicht zur Benennung eines Datenschutzbeauftragten regelt die DSGVO in Art. 37 Abs. 1:
- Personenbezogene Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: justizielle Tätigkeit)
- Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.
- Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO).
Benennungspflicht nach BDSG
In Deutschland hat der Gesetzgeber weitergehende Pflichten zur Benennung eines Datenschutzbeauftragten im BDSG n.F. verankert.
Gemäß § 38 Abs. 1 Satz 1 BDSG ist ergänzend zu den Vorgaben der DSGVO ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Gemäß § 38 Abs. 1 Satz 2 BDSG ist schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Wer kann zum Datenschutzbeauftragten bestellt werden?
Nur eine natürliche Person kann als interner oder externer Datenschutzbeauftragter benannt werden.