Datenschutzerklärung – was ist zu beachten?

Vier Mythen rund um die Datenschutzerklärung

Wie bei so vielen Themen ranken sich auch um die DS-GVO und die Datenschutzerklärung viele Mythen. Mit einigen möchten wir hier gerne aufräumen:

1. Wenn ich eine Datenschutzerklärung auf der Website habe, bin ich DS-GVO konform.

   Um DS-GVO konform zu sein, benötigt es mehr als eine Datenschutzerklärung, aber sie ist ein wichtiger Teil. Die Datenschutz-Grundverordnung besteht aus 99 Artikeln, lediglich zwei dieser Artikel beschäftigen sich mit der Informationspflicht und somit auch der Datenschutzerklärung. Zur Konformität gehört noch vieles mehr.

2. Lieber mehr als weniger in die Erklärung reinschreiben.

   In manchen Datenschutzerklärungen tauchen (vermutlich aus anderen kopierte) Informationen zu eingebunden Tools wie z. B. Google Analytics, Google Adwords und Matomo auf, ohne dass das Unternehmen eine von beiden überhaupt nutzt. Die „vorsorgliche“ Aufnahme von Informationen in die Datenschutzerklärung zu Themen die das Unternehmen überhaupt nicht betreffen macht keinen Sinn, das verwirrt die Kunden und Besucher der Webseite.

3. Ich habe kein Formular auf der Website, also brauch ich auch keine Datenschutzerklärung.

   Diese Aussage ist nicht korrekt, eine Datenschutzerklärung gilt üblicherweise ja nicht nur für alle Kunden und Interessenten des Unternehmens, sondern auch für alle Besucher der Website. Damit wird der Informationspflicht genüge getan, wie und welche Daten verarbeitet werden. Es ist natürlich möglich, eine Datenschutzerklärung nur für die Besucher der Website zu erstellen, die vollständige Erklärung muss dann aber dennoch für das gesamte Untenehmen entsprechend zur Verfügung gestellt werden.
   Auch wenn kein Formular oder anderweitig aktive Datenerfassung stattfindet, werden technisch gesehen durch bspw. Logfiles auf dem Webserver personenbezogene Daten in Form von IP-Adressen erhoben.

4. Der Kunde muss die Datenschutzerklärung per Mausklick akzeptieren.

   Die Datenschutzerklärung ist nicht zustimmungspflichtig. Sie ist eine Information, die das Unternehmen bereitstellen muss. Die oft in den sogenannten Cookie-Consent-Bannern geforderte Akzeptierung der Datenschutzerklärung ist so nicht notwendig.

Was muss eine Datenschutzerklärung beinhalten?

Grundsätzlich hat jede Person gemäß DS-GVO das Recht zu erfahren, wer welche Daten zu welchem Zweck erfasst und wie diese verarbeitet werden und wie und wann sie gelöscht werden. Darüber hinaus ist gefordert, dass diese leicht zugänglich (deshalb ist der Weg über die Website ideal) und leicht verständlich sein soll.

Hier eine Auflistung, was alles mindestens in eine Datenschutzerklärung gehört:

• Anschrift und Kontaktinformationen des Verantwortlichen
• Anschrift und Kontaktinformationen des Datenschutzbeauftragten
• Welche Daten werden erfasst und verarbeitet?
• Aus welchen Gründen werden die Daten erfasst und verarbeitet?
• Wer ist der Empfänger der Daten und wo werden diese verarbeitet?
• Findet eine Verarbeitung in Drittländern statt?
• Welche Auftragsverarbeiter sind involviert?
• Hinweise auf das Auskunftsrecht der betroffenen Person
• Hinweise auf das Widerrufsrecht
• Hinweise auf das Beschwerderecht und die zuständige Aufsichtsbehörde
• Hinweise auf Löschung der Daten
• Hinweise zu Cookies
• Eingesetzte Analysesoftware und andere Plugins in der Website, die Daten verarbeiten

Dies ist eine grobe Auflistung der wichtigsten Inhalte einer Datenschutzerklärung, welche nicht ausführlich und vollständig ist. Es gibt im Internet diverse Generatoren für Datenschutzerklärungen. Wenn Sie sich unsicher sind, fragen Sie einen Experten oder Rechtsanwalt. Wir unterstützen Sie gerne dabei oder stehen Ihnen beratend zur Seite.