Datenschutzerklärung auf Webseiten

Seit mit der Entscheidung des LG Würzburg wohl erstmalig die Abmahnfähigkeit von Verstößen gegen die DSGVO gerichtlich entschieden wurde, gehen die Alarmglocken auch bei den letzten Unternehmen an. Aber welche Anforderungen muss eine Datenschutzerklärung auf Webseiten erfüllen?

Viele Unternehmen haben bislang immer noch die Kosten einer rechtskonformen Umsetzung der DSGVO gescheut. Das Ausbleiben der großen Abmahnwelle scheint ihnen Recht zu geben. Ganz ohne Risiko ist dies jedoch sicher nicht. Mit der Entscheidung des Landgericht Würzburg (Beschl. v. 13.9.2018, 11 O 1741/18, zitiert nach heise.de) liegt nun erstmalig eine veröffentlichte Entscheidung zum gewerblichen Rechtsschutz vor. Kernaussage: Ein Verstoß gegen die DSGVO stellt in der Regel einen Verstoß gegen eine Marktverhaltensregel im Sinne des § 3a UWG dar. Damit können Verstöße teuer werden.

Wie muss eine Datenschutzerklärung für eine Webseite aussehen?

Hierauf gibt es keine allgemeingültige Antwort. Die Anforderungen sind bei nahezu allen Mandanten unterschiedlich. Dies hängt von vielen Funktionalitäten ab. Wer Newsletter nutzt, hierzu zum Beispiel Drittanbieter für deren Versand und Datenspeicherung einsetzt, muss z.B. besondere Anforderungen erfüllen. Dementsprechend helfen in der Regel auch keine Muster-Texte.

Welche Mindestbestandteile muss eine Datenschutzerklärung haben?

Mindestens folgende Bestandteile sollte die Datenschutzerklärung beinhalten:

  • Genaue, transparente und einfach zu verstehende Erklärung darüber, welche Daten, zu welchem Zweck und wie die Daten verarbeitet werden (z.B. wo und von wem sie gespeichert werden)
  • Rechtsgrundlage, die nach der DSGVO, dem BDSG 2018 oder anderen Vorschriften die Datenverarbeitung rechtfertigt
  • Speicherdauer und Speicherort
  • Im Fall des Online-Marketings gelten besondere Anforderungen bezüglich etwaiger Tracking-Maßnahmen. Hier muss der Nutzer genau informiert werden, dass Klicks personenbezogen (zumindest über die IP-Adresse) ausgewertet werden.
  • Widerrufsmöglichkeit im Falle einer erteilten Einwilligung
  • Widerspruchsrecht bei vom Verantwortlichen erklärtem berechtigten Interesse an der Datenverarbeitung
  • Betroffenenrechte im Übrigen (z. B. Recht auf Datenauskunft und Löschung)
  • Verantwortliche Stelle (in der Regel der Webseitenbetreiber) nebst Kontaktdaten
  • Sofern vorhanden: Datenschutzbeauftragter nebst Kontaktmöglichkeit

Können Datenschutz-Generatoren bei der Erstellung der Datenschutzerklärung helfen?

Einige Generatoren sind mit Sachverstand programmiert und geben sicherlich erste Hinweise auf erforderliche Angaben. Rechtssicherheit lässt sich damit derzeit jedoch noch nicht erreichen, worauf die seriösen Anbieter auch hinweisen. Denn längst nicht alle Besonderheiten der Datenverarbeitung werden hier berücksichtigt. Häufig ist den Nutzern auch nicht vollständig bekannt, welche Verarbeitungsprozesse im Hintergrund ablaufen, so dass zu einer ungeprüften Übernahme des Generatorergebnisses nicht geraten werden kann.

Worauf ist besonders zu achten?

Besondere Aufmerksamkeit sollten Webseitenbetreiber den Tracking-Tools widmen. Hier wird aktuell streitig diskutiert, ob das Tracking in jedem Einzelfall der Einwilligung des Nutzers bedarf. Die wohl überwiegende Meinung in der Literatur, insbesondere die Landesdatenschutzbehörden bejahen dies. Technisch gibt es für das Einholen der Einwilligung bislang noch kaum Internet-freundliche Lösungen. Hier ist die weitere Entwicklung unbedingt im Auge zu behalten.

Praxistipp

Webseitenbetreiber sollten bereits bei der Erstellung und beim Updaten ihrer Webseiten ihren Webdesigner zu den Verarbeitungsvorgängen befragen und diese in ihren Verfahrensverzeichnissen sorgfältig dokumentieren. Für viele Verarbeitungsprozesse gibt es bereits datenschutzkonforme Texte, die entsprechend in die Datenschutzerklärung aufgenommen werden können. Seriöse Agenturen lassen sich hierzu ihrerseits häufig rechtlich beraten. Im Zweifel sollte Rechtsrat eingeholt werden, insbesondere zur Frage, ob eine Einwilligung des Nutzers in die Verarbeitung erforderlich ist oder nicht.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für folgende Themen:

Die neue Auftragsverarbeitungsvereinbarung (AVV) mit Google
Viele Webseitenbetreiber nutzen verschiedene Tools von Google. Auch hier kann eine Verarbeitung von personenbezogenen Daten vorliegen, so dass eine Auftragsverarbeitungsvereinbarung mit Google erforderlich ist. Aber wie?
Neue Anforderungen an Datenschutzerklärung nach der DSGVO ab Mai 2018
Ab dem 25. Mai 2018 gilt die Europäische Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union unmittelbar. Unternehmen („Verantwortliche“ i.S.d. DSGVO) sind angehalten, Ihren Geschäftsbetrieb sowie Rechtstexte rechtzeitig anzupassen.