Aufbau einer einfachen Datenschutzerklärung - DSGVO-Update

Aufbau einer einfachen Datenschutzerklärung - DSGVO-Update

Blogbeitrag vom

Eine Datenschutzerklärung bündelt im Idealfall alle relevanten Angaben zum Datenschutz und stellt sie dennoch in übersichtlicher Form dar.Bei längeren Erklärungen sollte eine Kurzfassung vorangestellt werden, Details können dann bei Bedarf und Interesse nachgelesen werden.

Banner Datenschutzerklärung

DSGVO-Update: Aufbau einer einfachen Datenschutzerklärung und Mustertext

Seit dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO). Der Text in dieser Box stellt eine Ergänzung zum darunter stehendem Haupttext dar. Zum Gesamtverständnis lohnt es sich beide Texte zu lesen.

Die DSGVO hat die Transparenzpflichten deutlich verstärkt. Seitenbetreiber müssen also umfassender darüber informieren, wie sie personenbezogene Daten verarbeiten.

Klargestellt wurde, dass der „Verantwortliche“ für die Datenverarbeitung und dessen Kontaktdaten genannt werden müssen. Verantwortlich kann eine natürliche oder juristische Person sein, in der Regel ist es der im Impressum genannte Betreiber.

Wer seine Impressumspflichten erfüllt hat, hat diese Angaben in der Regel bereits gemacht. Wenn ein Datenschutzbeauftragter bestellt wurde, muss eine Kontaktmöglichkeit wie die E-Mail-Adresse angegeben werden.

Wenn die Datenschutzerklärung keinen Hinweis darauf enthält, auf welcher oder welchen Rechtsgrundlagen die Daten verarbeitet werden, muss die Angabe ergänzt werden, etwa mit einem Hinweis auf eine „Einwilligung“ oder ein „berechtigtes Interesse“. Im letzteren Fall muss zudem genauer angegeben werden, welches spezifische berechtigte Interesse an der Verarbeitung besteht. Das könnte wie folgt aussehen:

Mustertext: Berechtigtes Interesse an Datenverarbeitung

Wir verfolgen als gemeinnütziger Verein der Jugendhilfe nach unserer Satzung das Ziel, Kindern altersgerechte Informationsangebote zur Verfügung zu stellen. Die Übermittlung der Inhalte verfolgt dieses berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Oder in kindgerechter Sprache:

Mustertext in kindgerechter Sprache: Berechtigtes Interesse an Datenverarbeitung

Wir sind ein Verein, der für dich und andere Kinder Informationen anbietet. Damit wir das tun können, müssen wir Deine Daten verarbeiten. Denn ohne die Adresse deines Computers im Internet (deine IP-Adresse), wissen wir nicht, wohin wir die Inhalte schicken sollen (Art. 6 Abs. 1 lit. f DSGVO).

Ebenfalls muss angegeben werden, wann die Daten zu löschen sind. In dem Beispiel zur Protokollierung zu Sicherheitszwecken im Beitrag unten ist eine solche Angabe bereits enthalten.

Zudem muss auf die Betroffenenrechte hingewiesen werden. Je nach Kontext kann es sich um Rechte auf Auskunft, Korrektur, Löschung, Sperrung und Beschwerden handeln.

Das kann zum Beispiel wie folgt aussehen:

Mustertext: Betroffenenrechte

Sie haben bezüglich Ihrer Daten grundsätzlich folgende Rechte:

  • Das Recht auf Auskunft zu Ihren Daten,
  • das Recht auf Übertragung Ihrer Daten an Sie oder an einen anderen Dienstleister,
  • das Recht auf Berichtigung von unrichtigen Daten,
  • das Recht auf Löschung Ihrer Daten oder das Recht auf Einschränkung der Verarbeitung Ihrer Daten,
  • das Recht der Verarbeitung zu widersprechen und
  • das Recht, eine Einwilligung, die Sie abgegeben haben, zu widerrufen.

Darüber hinaus haben Sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.

Mustertext in kindgerechter Sprache: Betroffenenrecht

Deine Rechte:

  • Du hast das Recht, dass wir dich über deine Daten informieren,
  • Du hast das Recht, dass wir deine Daten an dich oder an jemand anderen weitergeben,
  • Du hast das Recht, dass wir falsche Daten von dir berichtigen,
  • Du hast das Recht, dass wir deine Daten löschen oder weniger Daten von dir verarbeiten,
  • Du hast das Recht uns zu sagen, dass wir deine Daten nicht verarbeiten dürfen
  • Darüber hinaus darfst du dich bei der zuständigen Datenschutzaufsichtsbehörde beschweren.

Allerdings bestehen diese Rechte natürlich nicht in jedem Fall. Wer beispielsweise gesetzlich verpflichtet ist, bestimmte Daten aufzubewahren, etwa für die Steuererklärung, der kann auch nicht mit einem Löschungsanspruch zur Vernichtung der Daten verpflichtet werden.

Aufbau einer Datenschutzerklärung nach der DSGVO

Eine Datenschutzerklärung nach der DSGVO, muss also zumindest folgende Fragen beantworten:

  1. Wer? (Betreiber der Webseite, Empfänger der Daten, ggf. Datenschutzbeauftragter)
  2. Was? (Welche Datenkategorien werden verarbeitet?)
  3. Wozu? (Zwecke der Verarbeitung)
  4. Warum dürfen die Daten verarbeitet werden? (Rechtsgrundlage)
  5. Wie lange? (Speicherdauer)
  6. Ihre Rechte

Wenn man über verschiedene Verarbeitungen einer Webseite in einer umfassenden Übersicht informieren will, kann es sich anbieten, einen allgemeinen Teil voranzuschicken, der die Angaben zu 1.) und 6.) enthält. In einem speziellen Teil lassen sich dann die Punkte 2.) bis 5.) für unterschiedliche Verarbeitungszwecke behandeln.

Die allgemeine Datenschutzerklärung sammelt dann die verschiedenen Arten, mit denen Daten im Kontext des jeweiligen Angebotes erhoben werden. Je nach Webseite kann dies recht umfangreich werden. Daher ist zu empfehlen, zur besseren Orientierung eine Übersicht über die verschiedenen Zwecke an den Anfang der Datenschutzerklärung zu stellen.

Damit entsteht für eine typische Webseite mit einem Gästebuch und Nutzungsanalyse folgende Struktur:

Musterstruktur für eine Datenschutzerklärung einer Webseite mit Gästebuch und Nutzungsanalyse

A. Allgemeines

  1. Wer? (Betreiber der Webseite, Empfänger der Daten, ggf. Datenschutz-beauftragter)
  2. Übersicht (über die verschiedenen Zwecke die in Teil B. erläutert werden, in diesem Beispiel: Übermittlung, Seitenoptimierung IT-Sicherheit und Kontaktformular)
  3. Ihre Rechte 

B. Verarbeitung zum Zweck der Übermittlung der Seiteninhalte

  1. Was? (Welche Arten von Daten werden verarbeitet?)
  2. Wozu? (Zwecke der Verarbeitung)
  3. Warum dürfen die Daten verarbeitet werden? (Rechtsgrundlage)
  4. Wie lange? (Speicherdauer)

C. Verarbeitung zur Seitenoptimierung

  1. Was?
  2. Wozu?
  3. Warum?
  4. Wie lange?

D. Verarbeitung zu Zwecken der IT-Sicherheit

  1. Was?
  2. Wozu?
  3. Warum?
  4. Wie lange?

E. Verarbeitung im Rahmen Ihrer Kontaktaufnahme über unser Kontaktformular

  1. Was?
  2. Wozu?
  3. Warum? (hier z.B. Einwilligung, oder, fallweise, auch berechtigtes Interesse).
  4. Wie lange?

Seitenbetreiber sind allerdings (bislang) in der Gestaltung frei. Die hier vorgeschlagene schematische Herangehensweise erleichtert es den Lesern meist, die gesuchte Information zu finden. Manchmal – insbesondere bei komplexeren Diensten – kann sich aber sicher auch ein anderer Aufbau anbieten. Es bleibt zu hoffen, dass sich in naher Zukunft ein einheitlicher Standard der Darstellung herausbildet. Im Idealfall könnten dann die Hinweise so ähnlich aussehen, wie die Packungsbeilagen von Medikamenten. Zudem steht bereits in der DSGVO, dass es wünschenswert wäre, wenn wichtige Aspekte auch mit Bildsymbolen dargestellt werden könnten. Hier ist zu erwarten, dass die EU-Kommission einen Vorschlag unterbreitet.

Auch bei der Datenschutzerklärung kann es sich empfehlen, sich an den „sieben goldenen Regeln“ zu orientieren. Aus dem Grundsatz der Zweckbindung etwa folgt, dass dem Nutzer die Zwecke der Datenverarbeitung verständlich werden sollten. Es sollte auch erkennbar sein, wer die Daten verarbeitet und somit die „verantwortliche Stelle“ ist. Hierbei kann in aller Regel auf ein Impressum verwiesen werden.

Ratsam ist es, für jede Funktion, die auf einer Website angeboten wird, einen eigenen Absatz vorzusehen. Zumeist entspricht das auch einem Verarbeitungszweck in rechtlicher Hinsicht. Hier sollten auch Angaben dazu gemacht werden,

  • welche Arten von Daten erhoben werden,
  • wann die Daten gelöscht und
  • an wen sie gegebenenfalls weitergegeben werden.

Zusätzliche Speicherungszwecke sollten zur besseren Verständlichkeit mit einem eigenen Absatz abgetrennt werden. Wenn für die Nutzung weiterer Funktionen Einwilligungserklärungen verwendet werden, sollten diese in der Erklärung noch einmal aufgeführt werden.

Nutzt man technische Dienstleister, kann es sich rechtlich betrachtet auch um eine „Auftragsdatenverarbeitung“ handelt. In vielen Fällen kann es dann erforderlich sein, eine „Vereinbarung zur Auftragsdatenverarbeitung“ abzuschließen, mehr Informationen dazu folgen im weiteren Verlauf dieser Service-Reihe.

Schließlich ist es ratsam, am Ende des Textes zeitliche Angaben zu machen, von wann die Datenschutz- und Einwilligungserklärungen sind. Es ist sinnvoll und bei Einwilligungserklärungen sogar erforderlich, auch die alten Versionen der Texte anzubieten. Dabei sollte dargestellt werden, welche Version zu welchem Zeitraum gültig war.

Ein Beispiel für eine Datenschutzerklärung mit Kurzfassung, Angaben zur datenverarbeitenden Stelle und Detail-Erläuterungen zu weiteren Funktionen und Verarbeitungszwecken ist die Erklärung auf iRights.info.

Logo iRights.info
Beispiel

Vorlage für eine einfache Datenschutzerklärung

Stellt eine Webseite nur statische Inhalte zum Abruf vom eigenen Server zur Verfügung, reicht eine minimale Datenschutzerklärung aus. In der Praxis wird das nur selten ausreichen, da Webseiten zum Beispiel üblicherweise Besuche messen, häufig interaktive Funktionen anbieten oder mit sozialen Netzwerken verzahnt sind.

Umgekehrt kommt aber keine Website ohne Übermittlung von Inhalten aus. Hierzu muss eine Datenschutzerklärung lediglich darstellen, welche Daten bei einer solchen Anfrage übermittelt werden.

Dabei sollte auch angegeben werden, ob die Daten zu Sicherheitszwecken gespeichert werden. Der Betreiber muss dabei gewährleisten, dass das nicht länger als zulässig geschieht. Orientiert man sich an einem Urteil des Bundesgerichtshofs, sollte die Speicherdauer sieben Tage im Normalfall nicht überschreiten. Danach müssen die Daten gelöscht werden.

Eine Datenverarbeitung zur Übermittlung der Onlineinhalte lässt sich zum Beispiel wie folgt beschreiben. Der Text wird in der Regel nicht alle Funktionen eines Webangebotes beschreiben, eignet sich aber als Ausgangspunkt:

Zum Zweck der Übermittlung der von Ihnen aufgerufenen Webseite werden von Ihrem Browser typischerweise unter anderem folgende Informationen (im Rahmen von sogenannten HTTP-Requests) übersandt:

  • Ihre IP-Adresse, eine Ziffernfolge, die Ihren derzeitigen Computeranschluss im Internet identifiziert.
  • Die von Ihnen aufgerufene URL (die Webseite und ggf. weitere Parameter),
  • Informationen zu dem von Ihnen verwendeten Browser und Betriebssystem, wie deren Name und Version
  • sowie – unter Umständen – die Seite, von der aus Sie zu uns gelangt sind (Referrer-Information).
Icon Datenschutz
Mustertext für eine einfache Datenschutzerklärung

Werden die Zugriffe auf die Webseite zu Sicherheitszwecken für sieben Tage protokolliert, bietet sich folgende Formulierung an:

Protokollierung zu Sicherheitszwecken

Die oben dargestellten Angaben können zudem für weitere sieben Tage in Protokolldateien gespeichert werden, um mögliche Störungen der Seite analysieren zu können. Sofern solche Störungen auftauchen, kann die Speicherung im Einzelfall auch länger andauern. Sie werden spätestens dann gelöscht, wenn sie zur Ermittlung der Ursachen der Störung nicht mehr erkennbar beitragen können.

Mustertext für die Speicherung zu Sicherheitszwecken

Version in kindgerechter Sprache

Für Betreiber von Kinderseiten bietet es sich an, die Informationen auch noch einmal in kindgerechter Sprache darzustellen. Dies ist keine gesetzliche Pflicht, entspricht aber den pädagogischen Zielsetzungen vieler Seiten. Denkbar wäre es auch, die Informationen noch einmal in anderer Form aufzubereiten, zum Beispiel als Comic oder Video.

Damit du die Webseite sehen kannst, bekommen wir Informationen von deinem Computer.

Wenn du eine unserer Webseiten aufrufst, fragt dein Computer einen unserer Computer nach einer bestimmten Internetadresse, der URL. Gleichzeitig schickt uns auch dein Computer folgende Informationen:

  • eine Nummer (IP-Adresse), unter der er derzeit erreichbar ist und
  • eine Reihe von anderen Daten. Beispielsweise welches Programm und welches Betriebssystem du verwendest.
  • Manchmal teilt uns der Computer auch mit, von welcher Webseite aus du auf unsere Seite gekommen bist.

Damit sich unsere Webseite in deinem Computer öffnet, müssen wir deine IP-Adresse und die anderen Daten kurz speichern und verarbeiten.

Für den Fall, dass unser Computer Probleme hat, speichern wir alle Zugriffe vorsichtshalber für eine Woche. So können wir nachschauen, was genau passiert ist. Falls es solche Probleme gibt, kann es sein, dass wir die Daten auch länger speichern, damit wir Zeit haben, das Problem gründlich zu untersuchen. Danach werden die Daten gelöscht.

Formulierungsvorschlag für eine einfache Datenschutzerklärung in kindergerechter Sprache


Checkliste zur Erstellung einer Datenschutzerklärung

  • Welche Funktionen werden angeboten, zu welchen Zwecken?
  • Welche Daten werden dabei erhoben?
  • Ist angeben, wer die Daten verarbeitet und worauf sich die Erklärung erstreckt?
  • Werden Daten zu Sicherheitszwecken gespeichert? Wenn ja, Speicherung aufführen und Begrenzung beachten
  • Bei Änderungen: Sind die alten Versionen verfügbar? Sind die Zeiträume angegeben, in denen eine bestimmte Erklärung galt?

 

Creative Commons Lizenzvertrag
"Aufbau einer einfachen Datenschutzerklärung" von Seitenstark e.V. ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.