Überblick
Die Datenschutzerklärung ist rechtlich das zentrale Dokument deiner Website. Du bist gesetzlich angehalten, die Nutzer:innen über die Datenerhebungen auf deiner Website aufzuklären. Nur unter dieser Bedingung darfst du deine Website veröffentlichen. Kommst du dem nicht oder auch nur nicht richtig nach, drohen Abmahnungen, Bußgelder und Schadensersatzforderungen von Behörden, Abmahnvereinen, Konkurrent:innen oder Nutzer:innen.
Durch die DSGVO ist das allgemeine Bewusstsein für den Datenschutz deutlich gestiegen, Abmahnungen sind daher noch wahrscheinlicher als vorher. Daher gilt: Vermeide Fehler und halte deine Datenschutzerklärung immer aktuell. Damit sparst du viel Nerven, Zeit und Kosten. Hier erfährst du, wie das geht.
1. Warum ist eine Datenschutzerklärung notwendig?
Eine Datenschutzerklärung selbst trägt nicht dazu bei, dass weniger Daten erhoben werden. Sie sorgt nicht für mehr Datenschutz. Ihr Grundgedanke ist Aufklärung. Die Nutzer sollen wissen, was mit ihren Daten geschieht. Die wenigsten werden eine Datenschutzerklärung jedoch wirklich lesen oder gar ihre Nutzungsentscheidung davon beeinflussen lassen. Von daher kann der Nutzen einer Datenschutzerklärung bezweifelt werden.
Die Konsequenz wäre aus Sicht eines Datenschützers aber, grade die Sammlung von Daten zu Marketingzwecken ganz zu verbieten. Insofern ist für jede:n, der auf Einnahmen aus seiner Website angewiesen ist, die Datenschutzerklärung das geringere Übel.
2. Was droht bei Fehlern in der Datenschutzerklärung?
Ist die Datenschutzerklärung nicht richtig positioniert oder fehlerhaft, kann im Grundsatz eine Abmahnung von Konkurrenten drohen. Hier findest du ein kurzes Video, was bei einer solchen Abmahnung genau passiert: Abmahnung erklärt.
Das ist eine Aufforderung zur Unterlassung des entsprechenden Rechtsverstoßes: etwa die Datenschutzerklärung nicht ausreichend gut erreichbar auf der Website vorzuhalten.
Rechtsbruch, Streitwert, Bußgeld – Hilfe!
Auf den ersten Blick wirst du dich fragen, was die Datenschutzerklärung denn mit der Konkurrenz zu tun hat, sie richtet sich schließlich eigentlich an die Nutzer. Die Brücke dafür ist die wettbewerbliche Fallgruppe des Rechtsbruchs. Beachtet jemand irgendwelche rechtlichen Vorschriften nicht, kann er sich durch diesen Rechtsbruch einen Vorteil im Wettbewerb verschaffen. Dafür muss die Norm, gegen die verstoßen wird, jedoch sogenannte wettbewerbliche Relevanz haben.
Das ist beispielsweise bei Preisvorschriften eindeutig, nicht jedoch bei datenschutzrechtlichen Bestimmungen. In der Datenschutzerklärung geht es aber auch um viele Möglichkeiten, Marketing zu machen, etwa durch Analyse des Besucherverhaltens. Daher kann man davon ausgehen, dass die Rechtsprechung wenigstens teilweise eine wettbewerbliche Relevanz der Datenschutzerklärung annehmen wird.
Eine Abmahnung ist damit möglich. Da für wettbewerbliche Streitigkeiten von der Rechtsprechung fast immer hohe Streitwerte von wenigstens 6.000 bis 10.000 Euro festgesetzt werden, sind dadurch schnell Kosten von mehr als 1.000 Euro erreicht. Nach einer Online-Studie kosteten 39 % der Abmahnungen aber sogar mehr als 1.500 Euro. Diese verdrei- oder vervierfachen sich, wenn es anschließend auch noch zu einem Gerichtsverfahren kommt.
Weiter kommt ein Bußgeld durch die Datenschutzbehörde in Betracht. Hier ist im Zuge der DSGVO der Bußgeldrahmen deutlich erweitert worden. Inwieweit sich das bei kleineren Vergehen auswirkt, muss aber noch abgewartet werden.
HTTPS und Datenschutz
Als ob das noch nicht genug wäre, auch rechtlich ist HTTPS für alle Webseiten verbindlich vorgeschrieben, auf denen Kund:innen Daten eingeben können. Jede Website mit Dateneingabe muss daher in jedem Fall verschlüsselt sein. Um wirklich rechtssicher zu sein, braucht man aber auch weitere Anpassungen auf der Website und in eurer Datenschutzerklärung. Hier kann zum Beispiel das Datenschutz-Plugin von easyRechtssicher helfen, das unser Netzwerk-Anwalt entwickelt hat.
Schließlich kommen auch Abmahnungen von jedem Nutzer der Website in Betracht. Seit der DSGVO sehe ich jetzt oft rein private Abmahnungen. Da wird dann gerne mit der Behörde gedroht. Möglich ist aber auch ein anwaltliches Vorgehen der Nutzer, dann können wieder erhebliche Kosten auftreten, weil du als Website-Betreiber für eine berechtigte Abmahnung die Kosten erstatten musst. Jeder Nutzer der Website hat nach Art. 82 Abs. 1 DSGVO Anspruch auf Schadensersatz, wenn er durch einen Verstoß gegen den Datenschutz einen Schaden erleidet. Dieser Schaden kann auch in den Anwaltskosten bestehen.
3. Wo muss die Datenschutzerklärung angegeben werden?
Die Datenschutzerklärung ist grundsätzlich so auf der Website vorzuhalten, dass sie von jeder Seite aus in maximal 2 Klicks, besser nur 1 Klick, zu erreichen ist. Sie muss klar als Datenschutzerklärung gekennzeichnet sein. Weiter sollte sie nicht in anderen Inhalten untergehen und nicht etwa von dem Cookie Banner verdeckt werden.
Sind auf der Website Bestellungen möglich, sei es von Dienstleistungen oder Waren, sieht man immer wieder, dass die Datenschutzerklärung vor der Bestellung mit einer Checkbox akzeptiert werden soll. Das ist jedoch nicht notwendig. Ein Hinweis und ein Link zur Datenschutzerklärung schadet nicht, ein explizites Einverständnis ist aber nicht erforderlich.
4. Was muss in der Datenschutzerklärung stehen?
In deiner Datenschutzerklärung sind sämtliche Daten anzugeben, die von der Website erfasst werden. Weiter muss der Nutzer auf viele Umstände und seine Rechte hingewiesen werden.
Die 20-Punkte Datenschutzerklärung-Checkliste
- Name des Verantwortlichen (Betreiber der Website) ggf. seiner_ihrer Vertretung (bei Gesellschaften Geschäftsführer oder Vorstand)
- Kontaktdaten des Verantwortlichen
- Datenschutzbeauftragter soweit erforderlich
- Kontaktdaten des Datenschutzbeauftragten (falls notwendig)
- Zweck der Datenverarbeitung
- Rechtsgrundlage jeder Datenverarbeitung (jeweils speziell zugeordnet)
- bei Verarbeitung wegen berechtigter Interessen (z. B. Gefahrenabwehr)
- Empfänger der Daten (nicht bei Auftragsverarbeitung – denn das ist Verarbeitung des Betreibers selbst)
- Übermittlung in ein Drittland und Bestehen eines Angemessenheitsbeschlusses oder der sonstigen Grundlage für den Export der Daten
- Speicherdauer wenigstens bestimmbar
- Hinweis auf Auskunftsrecht
- Hinweis auf das Recht auf Berichtigung
- Hinweis auf Recht auf Löschung oder Einschränkung
- Hinweis auf Recht auf Widerspruch
- Hinweis auf Recht auf Datenübertragung
- Hinweis auf Recht, die Einwilligung zu widerrufen
- Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
- Aufklärung, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und gegebenenfalls Konsequenzen der Nichtbereitstellung der Daten
- ob eine automatisierte Entscheidungsfindung oder Profiling erfolgt und wenn ja, die involvierte Logik
- in klarer Form und einfacher Sprache
Eine Datenschutzerklärung selbst zu erstellen, ist damit spätestens seit der DSGVO für Laien kaum mehr möglich, sodass man eine Profi-Lösung braucht. Nach der Datenschutzgrundverordnung sind grade viele rechtliche Hinweise verpflichtend geworden, die sich nur schwer überblicken lassen.
5. Wie kann die Datenschutzerklärung erstellt werden?
Für die Erstellung der Datenschutzerklärung greifen die Meisten auf Muster oder Generatoren zurück.
a) Muster
Das Muster riskant sind, braucht wohl nicht mehr extra erwähnt werden. Die Datenschutzerklärung muss den Datenverkehr genau auf eurer Website abbilden. Welche Daten aber auf Eurer Website erhoben werden und wohin sie gehen, kann ein Muster nicht wissen. Muster scheiden damit eher als Lösung aus.
b) Kopieren
Viele kopieren auch einfach andere Datenschutzerklärungen und suchen sich aus denen ein Sammelsurium von Vorlagen, die sie dann für Ihre Website zusammenbasteln. Das ist eine besonders schlechte Idee. Jedes Muster unterliegt auch einem Urheberrecht. Kopiert man einen Text, ohne eine Lizenz zu erwerben, kann es auch noch zu einer Abmahnung des Autors des Musters kommen.
Definitiv gibt es auch Betreiber von Generatoren, die ab und an im Web nach ihren eigenen Texten in Datenschutzerklärungen suchen. Finden sie eine, sprechen sie eine kostenpflichtige Abmahnung aus, wenn sie feststellen, dass der Text von jemandem verwendet wird, der keine Lizenz erworben hat. Grade vor kurzem hatte ich wieder so einen Fall.
b) Generatoren
Noch öfter werden Generatoren verwendet. Hiervon gibt es einige im Netz. Manche sind kostenlos, die besseren kosten jedoch Beträge zwischen 99 Euro einmalig oder 14,90 Euro im Monat.
Doch auch Generatoren haben Ihre Grenzen. Zum einen musst du bei jeder Änderung auf der Website oder rechtlichen Entwicklungen die Datenschutzerklärung immer neu erstellen. Zudem gibt der Generator immer nur ein Muster aus, sagt aber nicht, welche Umstände und Voraussetzungen eingehalten werden müssen, um die Datenschutzerklärung zu erstellen. Dass das bei den Generatoren fehlt, hat den meisten Websitebetreiber:innen anlässlich der DSGVO-Umstellung viele Tage Arbeit gekostet.
c) Plugins
Die größte Automation erreicht man mit Plugins, die die Datenschutzerklärung im Backend der Website erstellen. Dann werden die eigenen Einstellungen gespeichert und Anpassungen sind leichter möglich.
Das allein löst aber noch nicht das Problem, dass auch ansonsten auf der Website viele Voraussetzungen einzuhalten sind. Daher ist am besten eine Lösung zu suchen, die nicht allein bei dem Generieren der Texte stehen bleibt. Vielmehr sollte es auch für die erforderlichen Anpassungen auf der Website selbst eine Anleitung geben. Nur dann bist du in der Lage, deine Website rechtssicher zu erstellen.
Genau so haben wir www.easyrechtssicher.de erstellt. Hier gibt es – soweit mir bekannt – das einzige Plugin mit vollständigen Anleitungen für deine Website.
Noch im Datenschutz- und Impressums-Jungle verloren?
Ob es um eine Auffrischung eurer bereits bestehenden Website geht, ihr Hilfe bei einem Seitenprojekt braucht oder einen gesamten Relaunch plant: Wir helfen weiter!
Dieser Artikel wurde von Dr. jur. Ronald Kandelhard, Gründer von easyrechtssicher.de, erstellt.