Zum Inhalt springen Zur Navigation springen
Datenschutzerklärung – Was muss drin sein?

Datenschutzerklärung – Was muss drin sein?

Bis zum 01. Februar 2015 wurden 15.831.107 Internetseiten mit „de“-Domain registriert, allein in Deutschland gehen etwa 45.000 neue Seiten monatlich online. Theoretisch müsste auf fast jeder dieser Webseiten eine Datenschutzerklärung vorhanden sein. Die Praxis sieht allerdings ganz anders aus…

Fragen

Wo ist die Pflicht zur Einbindung einer Datenschutzerklärung geregelt?

Die Pflicht, eine Datenschutzerklärung auf der Webseite einzubinden, ergibt sich aus § 13 TMG. Danach muss der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.

Welche Form muss eine Datenschutzerklärung haben?

Da die Unterrichtung zu Beginn des Nutzungsvorgangs auf Webseiten etwas schwierig ist, ist die gleichzeitige Unterrichtung bei Erhebung grundsätzlich ausreichend. Da die Information außerdem jederzeit abrufbar sein muss, bietet es sich an, die Datenschutzerklärung wie das Impressum in einem eigenen Reiter als feste Seite zu implementieren.

Darüber hinaus muss die Information in allgemein verständlicher Form erfolgen.Technische oder juristische Fachbegriffe und Formulierungen sollten nach Möglichkeit vermieden werden.

Welchen Inhalt muss eine Datenschutzerklärung haben?

Der Inhalt ergibt sich aus den auf der Webseite erfolgenden Datenverwendungen. Über diese ist wahr und vollständig zu unterrichten. Darunter fallen Informationen über die allgemeine Datenerhebungen, wie zum Beispiel

  • die Erhebung von IP-Adressen um die Webseite überhaupt aufrufen zu können, sowie
  • die vom Browser übermittelten Daten (beispielsweise Browsertyp/-version, verwendetes Betriebssystem, besuchte Webseiten).

Aber auch Informationen über besondere Kategorien, wie zum Beispiel

  • Gewinnspiele,
  • Newsletter-Abos,
  • Webanalyse, etwa durch Google Analytics oder Piwik oder
  • Online-Bewerbungen
  • Kontaktformulare

müssen enthalten sein. In jedem dieser Fälle sollte auf das Widerspruchsrecht der Betroffenen hingewiesen werden und im Fall der Analysetools auch eine technische Möglichkeit zum Widerspruch eingeräumt werden. Außerdem müssen stets die Zwecke angegeben werden, zu denen die Daten verwendet und an wen sie gegebenenfalls weitergegeben werden.

Welche Folgen drohen bei Verstößen?

Wer den Nutzer nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 50.000 € geahndet werden kann. Darüber hinaus hat das OLG Hamburg (Urteil vom 27.06.2013, 3 U 26/12) entschieden, dass eine Datenerhebung ohne eine ausreichende Datenschutzerklärung einen Verstoß gegen Wettbewerbsrecht (§ 4 Nr. 11 UWG) darstellt und daher abgemahnt werden kann.

Datenschutzerklärung nach DSGVO

Seit dem 25.05.2018 steigen die Informations- und Transparenzpflichten gegenüber allen Personen, deren Daten verarbeitet werden. Wenn Sie Datenschutzerklärungen nach der DSGVO erstellen wollen, erhalten Sie hier Tipps zur Umsetzung.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Ist es bei Kontaktformularen erforderlich, dass der Kunde bezüglich der Datenschutzvereinbarungen in einem Fenster einwilligen muss? Oder reicht die Datenschutzerklärung auf einem anderen Reiter der Seite aus?

    • Der Kunde sollte bei einem Kontaktformular auf die Datenschutzerklärung hingewiesen werden. Dies kann praktischer Weise durch einen Link auf auf die Datenschutzerklärung am Ende des Kontaktformulars getan werden (z.B. „Hier finden Sie unsere Informationen zum Datenschutz.“).

  • Wann ist die Bereistellung eines „Öffentliches Verfahren“ (PDF) für eine Internetseite verpflichtend? Bei der Recherche haben wir keinen Dax-Konzern oder großen Online-Shop gefunden, der etwas über das „Öffentliche Verfahren“ außerhalb der Datenschutzerklärung bereitstellt.

    • Die Bereitstellung eines öffentlichen Verfahrensverzeichnisses hat grundsätzlich nicht zwingend auf der Internetseite eines Unternehmens zu erfolgen. Erforderlich für die Bereitstellung ist, dass es jedermann möglich ist, auf Antrag ein Exemplar zur Verfügung gestellt zu bekommen. Dies muss lediglich ich geeigneter Weise erfolgen und kann demnach auch elektronisch, schriftlich oder durch Einsichtnahme vor Ort erfolgen.

  • Hallo,
    muss man mich bei der Nutzung einer Website vorab darauf hinweisen, dass externe Dienste (wie Google Maps, Google Search und ähnliche) verwendet werden? Muss ich der Nutzung solcher Dienste auch widersprechen dürfen? Diese könnten ja schließlich nebst Dienstangebot auch eine Datenerhebung und Analyse durchführen.

  • Hallo! Ist es notwendig, dass der Nutzer im Rahmen der Datenerhebung auf einer Unternehmenswebsite (etwa um sich in ein Konto einzuloggen) ein spezielles Feld ankreuzt, um dadurch die AGB des Unternehmens zu akzeptieren – oder reicht es, wenn der Nutzer lediglich darauf hingewiesen wird, dass er beim Weiterklicken automatisch der AGB zustimmt? Danke!

    • Eine gesetzliche Verpflichtung, dass nur durch ein Häkchen-Setzen die AGB in den Vertrag einbezogen werden, gibt es nicht. Es ist aber zu empfehlen, so zu verfahren. Ein Unternehmen muss beweisen können, dass ein Nutzer sich im Rahmen des Vertragsabschlusses mit einer bestimmten Version der AGB einverstanden erklärt hat. Wird der Verbraucher lediglich darauf hingewiesen, dass er beim Weiterklicken automatisch der AGB zustimmt, wird schwierig sein, den oben genannten Nachweis zu erbringen.

  • Ich bin Berufsbetreuer für verschiedene Amtsgerichte und speichere oftmals die Angehörigen meiner Betreuten in einem Bearbeitsprogramm um gegebenenfalls mit diesen in Kontakt zu treten. Anderen außer meiner Büroangestellten sind diese Daten nicht zugängig. Nun fordert mich ein Enkel einer Betreuten auf das öffentliche Verfahrensverzeichnis meines Betreuungsbüro ihm offenzulegen. Muss ich so was führen?

    • Ein Verfahrensverzeichnis ist ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient. Das Gesetz spricht von einer „Übersicht“, die dem betrieblichen Datenschutzbeauftragten zur Verfügung gestellt wird. Zweck dieser Verpflichtung ist es, erfolgende Datenverarbeitungen transparenter zu machen und dadurch den Schutz personenbezogener Daten zu verbessern. Sofern es in Ihrem Betrieb einen internen/betrieblichen Datenschutzbeauftragten gibt, so ist dieser für eine Zugänglichmachung des Verzeichnisses zuständig. Sofern kein Datenschutzbeauftragter bestellt ist, so obliegt der verantwortlichen Stelle (also demjenigen, der die Daten verarbeitet) gemäß § 4a Abs. 2a BDSG die gegenüber jedermann bestehende Informationspflicht.

      Zu den genauen Voraussetzungen und dem Inhalt eines Verfahrensverzeichnis lesen Sie unbedingt unsere Beiträge dazu:
      Verfahrensverzeichnis – nur eine lästige Verpflichtung?
      Verfahrensverzeichnis

      Falls dennoch noch Fragen offen sein sollten, lassen Sie es uns wissen.

  • Hallo,
    habe viele (Datenschutzerklärungs)-Texte gefunden, die aufs Web gemünzt. Wie ist das nun bei nativen Apps, da gibt es keine Cookies, sonder eine eindeutige GeräteID wird genutzt. In meiner App kann der Nutzer das tracking ganzlich abschalten. Im Moment suche ich nach einem Mustertext.

    Danke

  • Hallo,
    Ich bin Marketing- und Kommunikationsberater im Onlinebereich in Österreich. Ich sehe immer mehr Webseiten, die in ihren Datenschutzerklärungen auf Ihre Seite zurückgreifen, frage mich gleichzeitig aber, in wie weit Deutschland und Österreich hier rechtlich gleich getaktet sind. Sprich: Kann deutsches Recht in diesem Bereich ohne Wenn und Aber auch in Österreich angewandt werden?

    • Auch in Österreich gilt die europäische Datenschutzrichtlinie, die aber von jedem Mitgliedsstaat anders und teils mit erheblichen Abweichungen umgesetzt wurde. Ich verweise hierzu ergänzend auf unseren Artikel „Datenschutz in Österreich“.

      Jedenfalls sind die jeweiligen nationalen Gesetzesvorschriften zum Datenschutz (und in anderen Spezialgesetzen) auch innerhalb Europas unterschiedlich ausgestaltet und es können Datenschutzerklärungen von deutschen Webseiten nicht eins zu eins für österreichische Webseiten genutzt werden.

  • Ist ein Kunde dazu verpflichtet eine schriftliche Datenschutzerklärung zu unterzeichnen?

    • Wie im Artikel bereits mitgeteilt, muss ein Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten, sowie über etwaige Weitergaben von Daten, unterrichten. Grundsätzlich kann keine Person von einem Anbieter dazu verpflichtet werden die vorgehaltene Datenschutzerklärung zu akzeptieren. Unter Umständen kann der jeweilige Kunde den angebotenen Service, der die Verarbeitung von personenbezogenen Daten voraussetzt, aber nicht nutzen, wenn dieser die Datenschutzerklärung nicht akzeptiert bzw. sich nicht einverstanden erklärt.

  • [Kommentar gelöscht. Off-Topic. Bitte posten Sie Ihre Frage unter einem themenrelevanten Artikel. Vielen Dank.]

  • Wenn eine Website zweisprachig ist, muss die Datenschutzerklärung in beiden Sprachen angegeben sein?

  • Wenn der Staat eine solche Pflicht der Datenschutzerklärung verlangt und der Staat auch genau weis, wann eine Datenschutzerklärung Falsch ist und Fehler hat, und somit sogar bestraft werden kann, warum stellt der Staat dann keine Datenschutzerklärung zu verfügung, die genau den Wünschen des Gesetzes entsprechen, so wie es derzeit auch Anwälte anbieten. Ich finde diese Datenschutzreglung sehr undurchsichtig und das diese zu Fehler verleitet und zu Strafen vorprogrammiert ist. Ich verlange hier von der Regierung eine klare Linie zu dem was mir zeigt was richtig ist. Wenn der Staat mir eine klare Regelung vorgibt, dann muss dieser auch sagen können wie diese auszusehen hat. Hier macht die Bundesregierung ein Gesetz, aber wie dieses Gesetz richtig befolgt wird, das überlässt sie dem Zufall. Das finde ich rechtswidrig und sollte angeklagt werden.

    • Im ersten Satz der ersten Antwort zitiert der Autor aus dem Gesetzestext folgendes:
      „Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten.“ (vgl. § 13 Abs. 1 TMG).

      Auch bei modernen Internetseiten kann nur der Betreiber selbst Kenntnis von all seinen Datenerhebungen und damit auch -verwendungen haben (z.B. etwa personenbezogene Daten aus Protokolleinträgen auf Servern, die nicht veröffentlicht und nur intern verwendet werden). Der Gesetzestext regelt also mehr als nur deutlich, was ein Seitenbetreiber zu unternehmen hat, sofern er personenbezogene Daten erhebt.

      Sollten Sie nicht wissen, was personenbezogene Daten sind, empfehle ich folgenden Artikel: http://www.gesetze-im-internet.de/bdsg_1990/__3.html

  • Verstehe ich das richtig, dass die Datenschutzerklärung auch Informationen darüber enthalten muss, dass die Besuche einer Seite mit Tools wie beispielsweise dem „Webmaster Tools“ von Google ausgewertet wird? Die Auswertung enthält keine persönlichen Angaben der Besucher und ist vollkommen anonym!?

    • In der Regel dürfte bei reinen Webmaster Tools wie „Google Search Console“ keine personenbezogenen Daten erhoben werden, allerdings kommt es dazu auf die Funktionsweise des Tools an. Wenden sie sich zur genaueren Abklärung für konkrete Tools an Ihren unternehmenseigenen Datenschutzbeauftragten.

  • Hallo,
    ich hätte eine Frage: Darf die Datenschutzerklärung/-hinweise direkt unter dem Impressum stehen oder sollte sie mit einer seperaten Verlinkung versehen werden?

    • Die Datenschutzerklärung sollte grundsätzlich leicht zu finden und mit nur einem Klick erreichbar sein. Falls Sie also auf Ihrer Startseite lediglich einen Link zu Ihrem Impressum haben und darunter dann eine Datenschutzerklärung packen, ist diese eher versteckt als leicht zu finden. Platzieren Sie daher auf Ihrer Webseite und ebenfalls den Unterseiten einen separaten Link, der direkt zu der Datenschutzerklärung führt.

  • Hallo!

    Ich habe eine private Seite, auf der ich kostenlos Informationen zu Themen wie Mathematik oder Physik reinstelle (ähnlich wie mathebibel.de).

    Ich verwende kein Google Analytics, setze keine Cookies ein oder speichere irgendwelche Daten über die zugreifenden Browser. Ich zeige auch keinerlei Werbung. Alles ist kostenlos, ich verdiene kein Geld.

    Ich habe ein Kontaktformular, bei dem man ein Pseudonym angibt und eine E-Mail-Adresse angeben kann, wenn man will.

    Bin ich zu einer Datenschutzerklärung bzw. zu einem Impressum verpflichtet?

    • Diensteanbieter mit der Verpflichtung zur Datenschutzerklärung ist nach §2 Nr.1 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Telemedien im Sinne des §1 Abs.1 TMG sind alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste oder Rundfunk sind. Damit fällt jede Webseite die der Information oder Kommunikation der Besucher dient, unabhängig von Entgeltlichkeit und davon ob Werbung gezeigt wird oder nicht, dem Telemedienbegriff.

      Sie sollten daher den Nutzer mittels einer Datenschutzerklärung über Art und Umfang der Datenerhebung auf ihrer Webseite (auch wenn nur wenig oder keine Daten erhoben werden) aufklären.

      • Das kann ich nicht nachvollziehen, wenn keine Daten erhoben werden.
        Das würde im Klartext bedeuten, ich soll den Nutzer mittels einer Datenschutzerklärung über Art und Umfang der Datenerhebung informieren, die nicht stattfindet. Wenn ich dies nicht mache, kann ich rechtlich belangt werden?
        Das wage ich zu bezweifeln.

        • Sie stellen im Wesentlichen zwei Fragen: Es geht einerseits um die Verpflichtung, ein Impressum zu implementieren und andererseits um die Datenschutzerklärung.

          Ein Impressum benötigen Sie, wenn der Online-Auftritt „geschäftsmäßig“ i.S.d. § 5 TMG ist. Hierfür ist es nicht zwingend erforderlich, dass Sie damit Geld verdienen. Auch ein Werbeeffekt für andere, von Ihnen angebotene Dienste kann hier eine Geschäftsmäßigkeit auslösen. Ein Impressum benötigen Sie demnach nur dann nicht, wenn die Website quasi auf rein privater Ebene ohne jeglichen wirtschaftlichen Beweggründe betrieben wird.

          Nach Art. 12, 13 DSGVO bestehen Informationspflichten im Rahmen einer Datenschutzerklärung, wenn personenbezogene Daten verarbeitet werden. Dies meint nicht nur E-Mail-Adressen und Namen, sondern insbesondere auch die IP-Adresse. So werden beim Aufruf Ihrer Website im Regelfall zumindest die IP-Adresse sowie weitere technische Daten wie beispielsweise der verwendete Browser erkannt und auf dem Server jedenfalls kurzzeitig gespeichert. Verantwortliche Stelle ist nach § 2 Abs.1 TMG in diesem Fall der Betreiber der Website, es gibt dabei keine Einschränkung auf geschäftsmäßige/kommerzielle Anbieter.

          Auch die Verwendung eines Kontaktformulars bedeutet fast zwangsläufig die Verarbeitung personenbezogener Daten. Jedenfalls die E-Mail-Adresse des Kontaktsuchenden sowie dessen IP-Adresse wird nach Ihrer Aussage verarbeitet. Und selbst wenn die Eingabe der E-Mail-Adresse für den Kontaktsuchenden lediglich freiwillig sein sollte, wäre hierüber zu informieren.

          Für weitere Informationen verweisen wir auf den entsprechenden Blogartikel (https://www.dr-datenschutz.de/datenschutzerklaerungen-nach-der-dsgvo-tipps-zur-umsetzung/).
          Für Betreiber kleinerer Blogs und nichtkommerzieller Websites existieren darüber hinaus diverse Angebote, welche die kostenlose Erstellung einer DSGVO-konformen Datenschutzerklärung versprechen.

  • Hallo, reicht es wenn auf einer deutschen Seite die Datenschutzerklärung z.B. auf englisch vorliegt?

    • Bei Datenschutzerklärungen müssen die Informationen in allgemein verständlicher Form erfolgen, so dass bei einer Webseite, die sich an Kunden in Deutschland richtet, auch eine Datenschutzerklärung auf Deutsch bereitgehalten werden muss.

  • Hallo, gibt es Bestimmungen dazu, welche Möglichkeiten zum Widerruf eingeräumt werden müssen? Muss hierzu eine natürliche Person mit postalischer Anschrift in der Datenschutzerklärung benannt sein oder ist die Möglichkeit zum Widerruf über Telefon / E-Mail hinreichend?

  • Grundsätzlich kann man ja sagen, dass immer, wenn man sich im Internet befindet, eine Datenschutzerklärung notwendig ist. Wie sieht das allerdings bei internen Anwendungen in einem Unternehmen aus? Gibt es hier eine Art Guideline? Vielen Dank!

  • Kann man bei einer Datenschutzerklärung bzgl. eines Systems auf die Cookies des Dienstleisters verweisen (per Link), die die Software bereitstellt? Welche Grundlage gibt es, sofern möglich? Könnten Sie einen praktischen Tipp geben? Vielen Dank im Voraus

    • Grundsätzlich sollten die wesentlichen Datenerhebungsvorgänge in der Datenschutzerklärung selbst enthalten sein und ein pauschales verweisen auf die Seiten von Dritten vermieden werden. Diese können aber für tiefer gehende Informationen für die Betroffenen bereit gestellt werden.

  • Hallo,
    in der Datenschutzerklärung muss dargestellt werden, dass ein Webanalyse-Tool genutzt wird. Ist es notwendig den Anbieter zu nennen? Auch wenn nur gering, stellt dies ein potentielles Sicherheitsrisiko dar?

    • Ja, der Anbieter des Analysetools muss für den Nutzer identifizierbar sein und daher in der Datenschutzerklärung benannt werden. Wie eine solche Datenschutzerklärung im Fall von Google Analytics aussehen kann und welche Voraussetzungen für einen rechtssicheren Einsatz noch zu beachten sind, können Sie hier nachlesen.

  • Guten Tag.

    wir haben unsere Marketingagentur (Zuständig für unsere HP, Online Bewerbung etc) schriftlich gebeten eine Information zu geben, in welcher Form personengebundene Daten gespeichert werden. Eine Antwort erfolgte per Email. Für diesen „Service“ wurde allerdings eine Rechnung erstellt.

    Darf eine Firma für die Beantwortung von DS Fragen überhaupt eine Rechnung stellen?

    Vielen Dank.

    • Die Frage, ob der Dienstleister die Auskunft in Rechnung stellen darf, hängt eher mit der individuellen vertraglichen Regelung zusammen, als mit dem Datenschutzrecht. Das Datenschutzrecht selbst regelt die Verteilung der Kostenlast nicht.

  • Ich habe gelesen, dass der Nutzer den Hinweis zur Datenschutzerklärung zu Beginn der Webseite-Nutzung erhalten soll. Reicht der Cookie-Hinweis auf der Webseite hierzu mit Link zur Datenschutzerklärung oder muss das separat irgendwie eingebunden werden?
    Vielen Dank vorab.

    • Tatsächlich muss ein Nutzer einer Webseite zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten unterrichtet werden. Problematisch an einem Link zur Datenschutzerklärung im Cookie-Hinweis über Pop-Up-Fenster ist allerdings, dass für die Datenschutzerklärung zusätzlich Voraussetzung ist, dass deren Inhalt für den Nutzer jederzeit abrufbar sein muss, also von jeder Seite aus. Da der Cookie-Hinweis regelmäßig vor der Verwendung der Homepage wieder geschlossen wird, wird die genannte Anforderung nicht erfüllt. Empfehlenswert ist daher stets, den Link zur Datenschutzerklärung neben dem Link zum Impressum in fest eingebaute Header oder Footer zu integrieren.

  • Guten Tag,
    ich hätte gern gewusst ob in der Erklärung zum Datenschutz auch die Nutzung von Javasript, Framework oder auch JQuery enthalten sein muss, wenn diese von extern bezogen werden. Sie sind bei der Programmierung von individuellen Fkt. teilweise unerlässlich, einige werden allerdings von Drittseiten bezogen (z.B. Anbieter) und können somit Browsertyp, Uhrzeit oder auch IP-Adresse über deren Server übermitteln.
    Und falls diese Implementierung im Datenschutz angegeben werden muss, wie sieht es dann mit einer Möglichkeit zur Deaktivierung seitens des Seitenbesuchers für diese Fkt. aus? Muss es in diesem Fall überhaupt eine Deaktivierungsmöglichkeit geben? Dann würde die Internetseite ja nicht mehr funktionieren…

    Vielen Dank für die Hilfe!

    • Wenn diese Tools personenbezogene Daten an Dritte übermitteln, müssen Sie darauf auch in der DSE hinweisen. Ob es eine Deaktivierungsfunktion geben muss, hängt im Wesentlichen davon ab, wie diese Daten genutzt werden (Tracking oder Profiling). Das werden Sie aber nicht immer wissen können, da es sich ja um Drittanbieter handelt. Wenn sich das nicht über die Drittanbieter herausfinden lässt, wäre eine Deaktivierungsfunktion ratsam, verbunden mit dem Hinweis, dass der Nutzer dann unter Umständen nicht mehr alle Funktionen dieser Seite nutzen kann.

  • Ist es bei Kontaktformularen erforderlich, dass der Kunde bezüglich der Datenschutzvereinbarungen vor der Übermittlung durch z.B. eine Checkbox einwilligen muss? Oder reicht der Hinweis in Textform und mit Link auf die Datenschutzerklärung aus? Es geht mir dabei um die Neuerungen ab Mai mit der DSGVO. Danke

    • Stellt ein Webseitenbetreiber ein Kontaktformular zu Verfügung, um leichter mit allen Webseitenbesuchern kommunizieren zu können, liegt eine Verarbeitung personenbezogener Daten vor. Eine Solche muss sowohl nach dem aktuellen BDSG, als auch der kommenden DSGVO von einer Rechtsgrundlage gedeckt sein. Ohne sämtliche in Frage kommenden Rechtsgrundlagen aufzuführen, muss im Ergebnis davon ausgegangen werden, dass eine Einwilligung des Webseitenbesuchers bei Nutzung des Kontaktformulars notwendig ist. Technisch ist hierfür das sog. Double Opt-In Verfahren anerkannt. Nur so kann sicher gegangen werden, dass der Befüller des Formulars mit dem Inhaber der angegeben E-Mail Adresse identisch ist und in die Datenverarbeitung eingewilligt wurde. Eine reine Checkbox (Opt-In), als auch reiner Hinweis mit Link sind nicht ausreichend.

  • Ich hätte eine Frage: Wie kann man auf eine einfache Art und Weise die Mitarbeitenden bezüglich Datenschutz informieren? Könnte man die wichtigsten Regeln auf ein A4 Blatte kreieren? (Goldene Regel) Wenn ja, welche? Danke!

  • Hallo Dr. Datenschutz, meine Frage bezieht sich auf den Webseitenhost, der im allgemeinen folgende Daten erhebt:
    Browsertyp und Browserversion
    verwendetes Betriebssystem
    Referrer URL
    Hostname des zugreifenden Rechners
    Uhrzeit der Serveranfrage
    IP-Adresse
    Ich habe bisher keine Informationen gefunden, ob man die Hosting Firma einer Webseite in der Datenschutzerklärung angeben muss. Ist das erforderlich?
    Was wenn der Webhost eine ausländische Firma ist. Muss dann ein ADV abgeschlossen werden?
    Vielen Dank.

    • Die geforderten Angaben in der Datenschutzerklärung richten sich zukünftig nach Art.12, 13 und 14 DSGVO.
      Danach sind gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten anzugeben.
      Von diesem Empfängerbegriff sind auch Auftragsverarbeiter erfasst. Derzeit deutet vieles darauf hin, dass die Angabe der Kategorie ausreicht. Beispielsweise: „Hosting-Dienstleister“.
      Auch mit einem ausländischen Webhost kann nach der Datenschutz-Grundverordnung ein ADV abgeschlossen werden. Entscheidend ist immer, ob die Voraussetzungen einer Auftragsverarbeitung vorliegen. Zusätzlich ist darauf zu achten, ob noch entsprechende Garantien für den Datentransfer erforderlich ist. Dies ist der Fall, wenn sich der Webhost in einem Drittland (außerhalb der EU) befindet und personenbezogene Daten ausgetauscht werden.

      • Vielen Dank für die Antwort.
        „Entscheidend ist immer, ob die Voraussetzungen einer Auftragsverarbeitung vorliegen.“ Der Webhost speichert die Daten der Webseitenbesucher, und stellt mir die Daten in meinem Konto für statistische Zwecke zur Verfügung. Ist das bereits Auftragsdatenverarbeitung?
        Die Webseite liegt auf Servern in Kanada, das ja als sicheres Drittland gilt.

  • Wie muss denn die Datenschutzerklärung nach dem 28.5.18 ausehen – gibt es irgendwo Vorlagen – gerne kostenlos?

  • Hallo,
    ich habe mehrere Webseiten. Reicht es aus wenn ich meine Datenschutzerklärung und mein Impressum auf einer Webseite habe und diese von allen meiner Webseiten per Link erreiche.
    Da sonst Google mich mit „Doppelseiten“ abstraft.
    Vielen Dank im Voraus.

    • Sie müssen grundsätzlich darauf achten, dass die Datenschutzerklärung die jeweilige Webseite auch tatsächlich abbildet. Dies bedeutet insbesondere, die Nutzer der jeweiligen Webseite richtig zu informieren. Setzen Sie beispielsweise unterschiedliche Tracker auf den verschiedenen Webseiten ein, kann die Information der Nutzer unzureichend ausfallen. Darüber hinaus sollte aber auch gewährleistet sein, dass die Datenschutzerklärung leicht (grundsätzlich nur durch einen Klick) erreicht werden kann und für den Nurzer einfach erkennbar ist, was in solchen Fällen gerne vergessen wird.

  • Guten Tag!
    Meine Frage bezieht sich auf den leidigen Newsletter: brauche ich bei der Newsletter-Anmeldung eine Checkbox, in der der User den Datenschutzhinweis aktiv bestätigt?
    Ich lese die DSGVO so, daß es ausreichend wäre den Hinweistext über dem Anmeldebutton zu zeigen ohne dass der User es separat bestätigen muss.
    Der Hinweis wäre ja in etwa wie folgt:
    „Ja, ich möchte den Newsletter (der Fa. xy) per E-Mail erhalten. Den Datenschutzhinweis [Link] habe ich zur Kenntnis genommen. Durch Klick auf „Zum Newsletter anmelden“ abonniere ich den kostenlosen Newsletter. Meine Einwilligung kann ich jederzeit widerrufen.“

    Was meinen die Profis?

    • Die Profis meinen, dass geht in Ordnung so. Vorausgesetzt natürlich, dass die Nutzer einen Bestätigungslink erhalten und den Newsletter erst durch das Klicken auf den Link aktivieren.

  • Kann mir jemand sagen welche Angaben zum Datenschutz ein Unternehmen OHNE Website im Emailverkehr zu machen hat?

  • Hallo,
    ich habe eine private nichtkommerzielle Webseite, auf der ich meine als Hobbyfotograf erstellen Bilder zeige. Es gibt kein Kontaktformular und keine sonstigen Plugins. Ich erlange m.E. keine personenbezogenen Daten. Nicht mal ein Cookie. Aber gibt es evtl. Daten, die vom System immer automatisch im Hintergrund vom Provider gespeichert werden? Wird nicht immer automatisch die IP geloggt? Oder werden ggf. Zugriffsstatistiken im Hintergrund mitgeloggt? Gibt es sonst noch Daten, die automatisch gesammelt werden, auf die ich keinen Einfluss habe? Diesbezüglich werde ich meinen Provider fragen. Aber gibt es evtl. einen Bereich, der aus technischen Gründen immer erhoben wird?

  • Finde ich auf Ihrer Website ein DSGVO-konformes Muster einer Datenschutzerklärung, die auf einer kommunalen Website eingesetzt werden kann? Wir bieten einen Newsletter an und die Analyse erfolgt über Piwik. Besten Dank für Ihre Antwort.

    • Aufgrund der gestiegenen Anforderungen an die Informationspflichten und die Verständlichkeit, wird es mit Datenschutz-Grundverordnung schwieriger ein „Muster“ für Datenschutzerklärungen zur Verfügung zu stellen. Vielmehr muss die Datenschutzerklärung meistens individuell auf die einzelnen Verarbeitungsvorgänge der Verantwortlichen Stelle angepasst werden. Einen ersten Versuch für ein solches kostenloses Rahmenkonstrukt, welches angepasst werden kann, finden Sie z.B. auf der Seite des Lehrstuhls von Prof. Hoeren. Daneben gibt es natürlich noch einige lizensierte, kostenpflichtige Angebote für DSGVO konforme Datenschutzerklärungen im Web.

      • Herzlichen Dank für Ihre schnelle und hilfreiche Antwort. Hätten Sie bitte noch zwei, drei seriöse Empfehlungen für kostenpflichtige und erschwingliche Angebote für den kommunalen Sektor?

  • Anschrift im Impressum, in der DSGVO oder in beidem?

    Hallo,
    der Wildwuchs treibt eine Blüten. Auf meiner DS-Seite verweise ich beim Betreiber der Seite auf das Impressum, natürlich mitr Link dorthin. Jetzt habe ich aber schon so viele andere DS-Seiten gesehen, die dort auch nochmal die Anschrift stehen haben, die im Impressum steht. Leider konnte ich bislang nirgends einen definitiven Hinweis finden.
    Danke und sonnige Grüße
    Detlef

    • Die Datenschutzerklärung muss die Informationspflichten des Art. 13 DSGVO erfüllen. Dort steht, das Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters anzugeben sind. Ich würde somit empfehlen, Name und Kontaktdaten nochmal in der Datenschutzerklärung aufzulisten. So haben Sie alle datenschutzrechtlichen Angaben nach Art. 13 DSGVO beisammen und tragen dadurch u.a. zur Transparenz und Verständlichkeit bei, die in Art. 12 DSGVO gefordert sind.

  • Mit diesem letzten Kommentar zum hiesigen Beitrag schließen wir hier den Kommentarbereich, um eine wachsende Unübersichtlichkeit und Überschneidung von Themen zu vermeiden.

    Bitte beachten Sie unsere bisherigen Antworten auf die eingegangenen Kommentare und diesen Beitrag Datenschutzerklärungen nach der DSGVO – Tipps zur Umsetzung.

    Wir bedanken uns für die zahlreichen Beiträge.

Kommentarfunktion geschlossen.