Eine Website, eine Datenschutzerklärung

Jede Website braucht eine Datenschutzerklärung. Mittlerweile ist das jedem bewusst. Was aber häufig noch nicht klar ist, ist, was eine solche Datenschutzerklärung erfüllen muss.

Jede Website ist anders. Das beginnt damit, welcher Hoster ausgewählt wird. Wie die Website aufgebaut ist, zum Beispiel welches Contentmanagement-System (CMS) genutzt wird und was die Website alles können muss und welche zusätzlichen Plug-ins dafür installiert werden. Zu guter Letzt natürlich auch, welche personenbezogene Daten auf der Website abgefragt werden und wie diese abgefragt werden.

Diese Dinge können sehr stark variieren und genauso unterschiedlich würde die Datenschutzerklärung (DSE) sein. Nicht nur bei „normalen“ Websites, auch Landingpages, Mitgliederseiten oder auch Onlineshops. Keine Website gleicht der anderen und deshalb gleicht auch die Datenschutzerklärung keiner anderen.

Allgemein

• Ist die Datenschutzerklärung von jeder Seite aus erreichbar?
• Gibt es eine eigene Seite für die Datenschutzerklärung?
• Ist die Datenschutzerklärung verständlich geschrieben?
• Ist die Website mehrsprachig, gibt es die Datenschutzerklärung in jeder Sprache, die auf der Website integriert ist?

Inhalt

• Beinhaltet die Datenschutzerklärung alles, was vorgeschrieben ist?
  • Nennung eines Verantwortlichen für die Datenverarbeitung auf der Website
  • Erläuterung der betroffenen Rechte (Auskunft, Sperrung, Löschung, Widerruf, Widerspruch, Beschwerde)
  • Erläuterung, welche Verarbeitung von personenbezogenen Daten stattfindet
  • Erläuterung, zu welchem Zweck die Verarbeitung von personenbezogenen Daten durchgeführt wird
  • Erläuterung, ob und an wen personenbezogene Daten übermittelt werden (vor allem an Drittstaaten)
  • Verlinkung auf die Datenschutzerklärung des Unternehmens, an das die Daten übermittelt werden
  • Erläuterung der Dauer der Datenverarbeitung
  • Erläuterung der Maßnahmen, die ergriffen wurden, um die erhobenen Daten zu schützen
  • Erläuterung ob der Datenverarbeitung widersprochen/widerrufen werden kann und wie
  • Erläuterung, auf welcher Grundlage die Verarbeitung der personenbezogenen Daten stattfindet

Aktualität

• Der Verantwortliche hat dafür zu sorgen, dass die DSE dem tatsächlichen Stand der Verarbeitungsprozesse entsprechen
• Das heißt, werden auf der Website neue Prozesse eingeführt oder Prozesse entfernt, die personenbezogene Daten betreffen, ist die DSE zu prüfen und ggf. anzupassen
• Auch Änderungen bei der Technik kann eine Prüfung und Anpassung der DSE mit sich bringen
• Ebenso sind Gesetzesänderungen oder neue Urteile im Auge zu behalten. Auch ist es möglich, das Anpassungen nötig werden

Verweis auf die Datenschutzerklärung

• Wird an den vorgeschriebenen Stellen auf die DSE verwiesen (überall, da wo personenbezogene Daten erhoben werden)?
  • im Cookie Banner
  • bei Formularen
  • bei Kontaktmöglichkeiten (auch, wenn nur eine E-Mail Adresse genannt wird)

Bonus: Datenschutzerklärung für Social Media Plattformen

Auch für Profile auf Social Media Plattformen muss eine DSE (gilt auch für das Impressum) erstellt werden. In den meisten Fällen ist der Betreiber des Profils mitverantwortlich für die Datenverarbeitung und somit muss eine DSE vorhanden sein.

• Nennung eines Verantwortlichen für die Datenverarbeitung des Onlineplattformprofils
• Erläuterung der Verantwortlichkeiten und wie sie verteilt sind
• Erläuterung, warum der Profilbetreiber mitverantwortlich ist
• Erläuterung der Verantwortlichkeit des Profilbesuchers und dessen rechte
• Erläuterung der Cookies und wie diese zu steuern sind
• Erläuterung, ob eine Datenübertragung an Drittstaaten stattfindet
• Verlinkung auf die DSE der Onlineplattform

Was, wenn die DSE fehlt oder falsch ist? Das kann eine Abmahnung mit sich bringen oder auch ein Bußgeld. Eine Anzeige von einer betroffenen Person bei der Datenschutzbehörder kann dazu veranlassen, das eine Website oder auch das ganze Unternehmen geprüft wird oder auch eine Anzeige von einem Abmahnanwalt oder sogar von einem Wettbewerber.