Zum Inhalt springen Zur Navigation springen
Die Qual der Wahl: Welche Sprache für die Datenschutzerklärung?

Die Qual der Wahl: Welche Sprache für die Datenschutzerklärung?

Das World Wide Web ist international und so kann sich auch ein Engländer auf einer deutschen Webseite verirren und versteht dann nur Spanisch. In diesem Beitrag wird erklärt, in welcher Sprache die Datenschutzerklärung erstellt sein muss und wann es mehrere Versionen geben sollte.

Was sagt die DSGVO?

Die DSGVO regelt direkt nicht, in welcher Sprache die Datenschutzerklärung verfasst sein muss. Es gibt also keinen Vorrang einer bestimmten Sprache.

Grundsätze zum Inhalt und Form der Datenschutzerklärungen lassen sich nur aus Art. 12 Abs. 1 S. 1 DSGVO ableiten. Dort heißt es:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (…) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;(…)“

Daraus folgt, dass der Betroffene in der Lage sein soll, die mitgeteilten Informationen zu verstehen. Es ist also vorrangig auf den Empfängerhorizont abzustellen. Um diesen zu ermitteln, muss man demnach prüfen, welchen Personenkreis die Webseite ansprechen soll. Hierzu auch schon die Artikel-29-Datenschutzgruppe in ihrem WP 260 (S. 10):

„Where the information is translated into one or more other languages, the data controller should ensure that all the translations are accurate and that the phraseology and syntax makes sense in the second language(s) so that the translated text does not have to be deciphered or reinterpreted. (A translation in one or more other languages should be provided where the controller targets data subjects speaking those languages.)“

Ändert sich mit der Sprache auch die nationale Gesetzeslage?

Grundsätzlich bestimmen sich die rechtlichen Rahmenbedingungen nach dem Land, wo das Unternehmen seinen Sitz hat. Bei Unternehmen in einem EU-Mitgliedstaat sind also die Bestimmungen der DSGVO sowie seines jeweiligen Mitgliedstaates anzuwenden. Wenn ein deutsches Unternehmen mit Sitz in Deutschland seine Webseite in deutscher und französischer Sprache anbietet, dann muss die Datenschutzerklärung lediglich ins Französische übersetzt werden. Eine Prüfung und Anpassung an das französische Recht bedarf es nicht.

Aus Art. 3 Abs. 2 DSGVO i. V. m. Erwägungsgrund 23 ergibt sich aber noch das sog. Marktortprinzip, welches den räumlichen Anwendungsbereich der DSGVO erheblich erweitert. Danach ist die DSGVO auch dann von Unternehmen ohne Sitz in einem EU-Mitgliedstaat zu beachten,

„(…) wenn die Datenverarbeitung im Zusammenhang damit steht
1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.“

Ein Unternehmen mit Sitz im Drittland muss also neben seinen eigenen Recht auch die DSGVO beachten, wenn er Produkte und Dienstleistungen an EU-Bürger anbieten möchte.

Welche Konstellationen sind denkbar?

Die zunächst einfachste Variante ist es, dass ein deutsches Unternehmen mit Sitz in Deutschland eine Webseite in deutscher Sprache betreibt. Es sollen also nur deutschsprachige Webseitenbesucher angesprochen werden, sodass nur deren Empfängerhorizont maßgeblich ist. Die Datenschutzerklärung genügt also in deutscher Sprache. Das auch ein Nicht-Deutschsprachiger auf diese Webseite zugreifen kann, ändert hieran nichts. Es ist nicht erforderlich, auf bloßen Verdacht hin eine englische Version der Datenschutzerklärung bereitzuhalten. Der Webseitenbetreiber muss neben der DSGVO auch das BDSG beachten.

Es ist aber nicht abwegig, dass ein deutscher Webseitenbetreiber auch Kunden anderer Nationen erreichen will. In diesem Fall muss die Webseite in der jeweiligen Landessprache ebenfalls verfügbar sein. Allerdings bleibt es dabei, dass sich die Rechtslage nur nach DSGVO und BDSG richtet.

Bei Konzernen kann dann noch die Frage aufkommen, ob sich die vom Tochterunternehmen betriebene Webseite die Sprache der Konzernmutter beachten muss. Zum Beispiel hat die Konzernmutter ihren Sitz in Frankreich, aber das Tochterunternehmen in den USA. Die Tochter betreibt eine Webseite, welche den Kauf von Produkten an deutsche und US-amerikanischen Bürger anbietet. Über Art. 3 Abs. 2 DSGVO gilt die DSGVO neben dem landesspezifischen Regelungen. Da als Zielgruppe nur deutsch- und englischsprechende Kunden fokussiert sind, ist die Datenschutzerklärung in deutscher und englischer Sprache zu verfassen. Dass die Konzernmutter nur französisch „spricht und versteht“, ist an dieser Stelle irrelevant.

Da letztlich die Zielgruppe der Webseite maßgeblich ist, kann es also sein, dass ein deutsches Unternehmen mit Sitz in Deutschland ausschließlich eine Datenschutzerklärung in einer fremden Sprache bereitstellen muss, wenn sich die Webseite nicht an deutsche, sondern lediglich an „ausländische“ Bürger richtet.

Übersetzungen nicht immer nötig

Um die Reichweite der eigenen Webseite zu erhöhen, kann es sinnvoll sein, diese mehrsprachig anzubieten. In diesem Falle muss man daran denken, dass auch rechtlich-relevante Informationen wie die Datenschutzerklärung in der jeweiligen Sprache verfügbar sind.

Es ist davon abzuraten, unreflektiert fremdsprachige Vorlagen aus dem Internet zu nutzen. Zu groß ist die Gefahr, dass diese fehlerhaft oder unpassend sind und daher einen Datenschutzverstoß begründen würden. Es ist besser, die Originalversion professionell übersetzen zu lassen. Bei der Suche eines Dolmetschers sollte man auch dessen Erfahrungen mit rechtlich Formulierungen prüfen. Die Einbeziehung Ihres Datenschutzbeauftragten ist hierbei geboten.

Update: Mittlerweile hat sich die österreichische Datenschutzaufsichtsbehörde mit dem Thema in einer Entscheidung beschäftigt.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Im letzten Absatz schreiben Sie, dass man einen Dolmetscher suchen muss: meinen Sie hier wirklich einen Dolmetscher, weil auch Auskünfte in anderer Sprache wiedergegeben werden? Oder ist hier nicht eher ein Übersetzer gemeint? Wenn die Datenschutzerklärung zudem bspw. auch auf spanisch erstellt wird: muss dann nicht auch sichergestellt werden können, dass Personen im Unternehmen diese Sprache verstehen, falls es nun eine spanischsprachige Anfrage eines Betroffenen gibt? Danke.

    • Lieben Dank für den Hinweis. Es ist natürlich ein Übersetzer gemeint, da hier schriftliche Texte in eine andere Sprache verfasst werden und es nicht um eine mündliche Wiedergabe geht, wie dies durch einen Dolmetscher erfolgt. Jedenfalls ist die Hinzuziehung professioneller Unterstützung zu empfehlen, um sinnwidrige und fehlerhafte Übersetzungen zu vermeiden.

      Es muss gewährleistet werden, dass einem Auskunftsersuchen nach den gesetzlichen Vorgaben der DSGVO erfüllt wird. Ob er sich hierzu auch wieder eines Übersetzers bedient oder Personal mit entsprechenden Fremdsprachenkenntnissen einstellt, ist allein die Entscheidung der Geschäftsführung.

  • Jetzt hab ich wirklich einen kurzen Augenblick drüber nachgedacht, wieso der Engländer im ersten Absatz nur Spanisch versteht… :-)

  • Schön dass Sie sich diesem Thema widmen. Fundstellen hierzu sind leider rar. Die Antwort auf die aufgeworfenen Frage, wird dann aber sehr stark vereinfacht und ohne Begründung im vorletzten Absatz mit:
    „Um die Reichweite der eigenen Webseite zu erhöhen, kann es sinnvoll sein, diese mehrsprachig anzubieten. In diesem Falle muss man daran denken, dass auch rechtlich-relevante Informationen wie die Datenschutzerklärung in der jeweiligen Sprache verfügbar sind.“
    beantwortet. Dies ist bedauerlich, da sich ja meist die Frage stellt, ob es wirklich unbedingt erforderlich ist, die gesamte Datenschutzerklärung fremdsprachig anzubieten. Dies kann einen enormen Aufwand bedeutet. Es ist vielfach aber der Fall, dass die gesamte, oder häufiger nur Teile einer Website auf Englisch angeboten werden, um einerseits die Reichweite zu erhöhen, andererseits aber auch nur um internationaler zu wirken oder um den in Deutschland lebenden Personen, die keine Muttersprachler sind, entgegen zukommen. Beispielsweise werden im technischen und medizinischen Bereich wissenschaftliche Veröffentlichungen nahezu ausschließlich auf Englisch verfasst. Für diese Betreiber, z.B. eine deutsche Hochschule, Beratungsunternehmen, Spedition oder Großhändler, die nur Teile ihrer Website oder nur einzelne Dokumente in Englisch anbieten, wäre es interessant, ob sich durch diesen „Service“ auch unmittelbar und immer die Pflicht ergibt, sämtliche Pflichtangaben auf Englisch bereitzustellen. Eine Aussage hierzu wäre ein echter Mehrwert.

    • Wie mehrfach im Beitrag betont, richtet sich die Wahl der Sprache an die Zielgruppe, die man mit seiner Webseite erreichen möchte. Der Webseitenbetreiber muss sich also die Frage stellen, wer seine Webseite besuchen und nutzen soll. Die Datenschutzerklärung wird nur für diese Webseite verfasst. Diese muss dann für den Webseitenbesucher verständlich und daher in seiner Sprache zugänglich sein.

      Wenn ich eine Webseite für deutsch-sprachige Studenten anbieten möchte, dann verbleibt es ausschließlich bei einer Datenschutzerklärung in deutscher Sprache. Das hier Aufsätze in englischer Sprache abrufbar sind, führt nur dazu, dass die deutsch-sprachigen Studenten Englisch verstehen müssen. Für die Datenschutzerklärung ändert sich aber nichts. Wenn ich mir aber bewusst bin, dass es englisch-sprechende ERASMUS-Studenten gibt, denen ich auch meine Webseite verfügbar machen will, dann sollte ich die Webseite auch in Englisch anbieten und muss auch die Datenschutzerklärung zusätzlich in englischer Sprache zur Verfügung stellen.

      Die Variationen sind hier unendlich und es kann daher nicht auf jeden denkbaren Fall eingegangen werden. Es verbleibt letztlich bei einer Einzelfallentscheidung, die hier im Rahmen des Blogbeitrages nicht abschließend geklärt werden kann.

  • Hallo und danke für den Artikel! Erkennen Sie auch eine Pflicht, die DSE in der „Heimatsprache“ des Unternehmens vorzuhalten?

    • Aus Ihrer Frage ist nicht klar, was Sie mit „Heimatsprache“ meinen. Es kann damit der Sitz des Unternehmens, welches die Webseite betreibt, oder aber im Falle von Konzernen der Sitz der Konzernmutter gemeint sein.
      Aus Art. 13 DSGVO ergibt sich, dass der Betroffene (=Webseitenbesucher) die Datenschutzerklärung verstehen muss. Man muss sich also fragen, welche Webseitenbesucher möchte ich erreichen und danach die Sprache auswählen. Daneben muss der Webseitenbetreiber aber auch seine nationalen Gesetze beachten. Aus denen kann sich ggf. ergeben, dass er neben der Sprache seiner Webseitenbesucher auch die seines Firmensitzes bereitstellen muss.
      Hinsichtlich Konzernen verweise ich auf das Beispiel im Beitrag.

  • Hallo,
    zunächst einmal vielen Dank, dass Sie sich dieses Themas in verständlicher Weise angenommen haben. Für mich stellt sich allerdings noch eine Frage:
    In Datenschutzerklärungen wird regelmäßig die Verwendung von Drittanbieterlösungen erklärt und dann auf deren Datenschutzerklärung verwiesen. Wie ist in Deutschland vorzugehen, wenn diese nur in englisch verfügbar ist?
    Aus meiner Sicht ist die Forderung nach der „Verständlichkeit für den Besucher” damit nicht mehr gegeben.
    Besten Dank, mit freundlichen Grüßen

    • Tatsächlich stellt sich für verantwortliche Webseitenbetreiber die schwierige Frage, wie weit ihre Informationspflichten bei der Einbindung von Drittanbietern gehen.
      Auch hier wirkt der Grundsatz der Verhältnismäßigkeit, sodass der verantwortliche Webseitenbetreiber die ihm zumutbaren Maßnahmen zur Erfüllung seiner Informationspflichten ergreifen muss. Es wäre ungenügend, wenn man den Drittanbieter ohne weitere Erläuterung nur nennen und auf dessen Webseite verweisen würde. Der Drittanbieter ist wiederum für seine Informationspflichten eigenverantwortlich. Der Webseitenbetreiber ist gegenüber dem Drittanbieter dahingehend nicht weisungsbefugt. Er kann lediglich beim Drittanbieter anregen, dass dieser seine Informationen in weiteren Sprachen anbietet. Es würde zu weit gehen, wenn der verantwortliche Webseitenbetreiber jegliche Informationen seiner Drittanbieter übersetzen müsste. Dies könnte auch dazu führen, dass die eigentliche Datenschutzerklärung des Webseitenbetreiber an Übersichtlichkeit und damit Verständlichkeit einbüßt.
      Dem Webseitenbetreiber ist es aber zuzumuten, kurz die Funktionsweise der Tools vom Drittanbieter zu erläutern, die Löschroutinen des Drittanbieters zu nennen (soweit ihm diese bekannt sind) und ggf. auf einen etwaigen Drittlandsbezug hinzuweisen. Diese Informationen genügen für einen Webseitenbesucher, um sich eine erste Meinung über das Tool vom Drittanbieter bilden zu können und die Entscheidung zu treffen ob sie noch weitere Informationen beim Drittanbieter einholen wollen.

  • Hallo, wie sieht es aus wenn man eine private Hp betreibt mit Sitz in Deutschland aber diese Seite auf englisch ist? Muss ich dann eine deutsche und englische Datenschutzerklärung machen oder reicht eine englische? Oder gar eine deutsche weil privat?

    • Wie im Artikel mehrfach erwähnt, ist bei der Wahl der Sprache für die Datenschutzerklärung vor allem die Zielgruppe maßgeblich. Soweit die gesamte Homepage in englischer Sprache gehalten ist, scheinen deutsche Leser nicht Ihre Zielgruppe zu sein. Daher würde eine englisch-sprachige Datenschutzerklärung genügen.

      Soweit Sie erwähnen, dass es sich um eine private Homepage handelt, könnte Art. 2 Abs. 2 lit. c DSGVO greifen. Danach findet die DSGVO sachlich keine Anwendung auf Tätigkeiten reiner persönlicher und familiärer Natur. Eine ähnliche lautende Ausnahmevorschrift ergibt sich auch aus § 1 Abs. 1 S. 2 BDSG. Falls diese Normen greifen, dann unterliegen Sie nicht den Pflichten aus der DSGVO oder BDSG und müssten daher keine Datenschutzerklärung veröffentlichen.

      Der persönliche und familiäre Bereich liegt aber nur vor, wenn nur die von Ihnen bekannten Personen Zugriff auf die Webseite erhalten. Sobald ein unbekannter Personenkreis auf die Webseite zugreifen kann oder Sie die Webseite mit Gewinnerzielungsabsicht betreiben, greifen die vorgenannten Ausnahmevorschriften nicht mehr. Eine abschließende Prüfung kann hier im Rahmen des Blogs nicht erfolgen. Insoweit empfehle ich Ihnen, sich ggf. individuell beraten zu lassen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.