Aufbau einer einfachen Datenschutzerklärung - DSGVO-Update
Aufbau einer einfachen Datenschutzerklärung - DSGVO-Update
Blogbeitrag vom
Eine Datenschutzerklärung bündelt im Idealfall alle relevanten Angaben zum Datenschutz und stellt sie dennoch in übersichtlicher Form dar.Bei längeren Erklärungen sollte eine Kurzfassung vorangestellt werden, Details können dann bei Bedarf und Interesse nachgelesen werden.
DSGVO-Update: Aufbau einer einfachen Datenschutzerklärung und MustertextSeit dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO). Der Text in dieser Box stellt eine Ergänzung zum darunter stehendem Haupttext dar. Zum Gesamtverständnis lohnt es sich beide Texte zu lesen. Die DSGVO hat die Transparenzpflichten deutlich verstärkt. Seitenbetreiber müssen also umfassender darüber informieren, wie sie personenbezogene Daten verarbeiten. Klargestellt wurde, dass der „Verantwortliche“ für die Datenverarbeitung und dessen Kontaktdaten genannt werden müssen. Verantwortlich kann eine natürliche oder juristische Person sein, in der Regel ist es der im Impressum genannte Betreiber. Wer seine Impressumspflichten erfüllt hat, hat diese Angaben in der Regel bereits gemacht. Wenn ein Datenschutzbeauftragter bestellt wurde, muss eine Kontaktmöglichkeit wie die E-Mail-Adresse angegeben werden. Wenn die Datenschutzerklärung keinen Hinweis darauf enthält, auf welcher oder welchen Rechtsgrundlagen die Daten verarbeitet werden, muss die Angabe ergänzt werden, etwa mit einem Hinweis auf eine „Einwilligung“ oder ein „berechtigtes Interesse“. Im letzteren Fall muss zudem genauer angegeben werden, welches spezifische berechtigte Interesse an der Verarbeitung besteht. Das könnte wie folgt aussehen: |
Mustertext: Berechtigtes Interesse an DatenverarbeitungWir verfolgen als gemeinnütziger Verein der Jugendhilfe nach unserer Satzung das Ziel, Kindern altersgerechte Informationsangebote zur Verfügung zu stellen. Die Übermittlung der Inhalte verfolgt dieses berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO). |
Oder in kindgerechter Sprache: |
Mustertext in kindgerechter Sprache: Berechtigtes Interesse an DatenverarbeitungWir sind ein Verein, der für dich und andere Kinder Informationen anbietet. Damit wir das tun können, müssen wir Deine Daten verarbeiten. Denn ohne die Adresse deines Computers im Internet (deine IP-Adresse), wissen wir nicht, wohin wir die Inhalte schicken sollen (Art. 6 Abs. 1 lit. f DSGVO). |
Ebenfalls muss angegeben werden, wann die Daten zu löschen sind. In dem Beispiel zur Protokollierung zu Sicherheitszwecken im Beitrag unten ist eine solche Angabe bereits enthalten. Zudem muss auf die Betroffenenrechte hingewiesen werden. Je nach Kontext kann es sich um Rechte auf Auskunft, Korrektur, Löschung, Sperrung und Beschwerden handeln. Das kann zum Beispiel wie folgt aussehen: |
Mustertext: BetroffenenrechteSie haben bezüglich Ihrer Daten grundsätzlich folgende Rechte:
Darüber hinaus haben Sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde. |
Mustertext in kindgerechter Sprache: BetroffenenrechtDeine Rechte:
|
Allerdings bestehen diese Rechte natürlich nicht in jedem Fall. Wer beispielsweise gesetzlich verpflichtet ist, bestimmte Daten aufzubewahren, etwa für die Steuererklärung, der kann auch nicht mit einem Löschungsanspruch zur Vernichtung der Daten verpflichtet werden. Aufbau einer Datenschutzerklärung nach der DSGVOEine Datenschutzerklärung nach der DSGVO, muss also zumindest folgende Fragen beantworten:
Wenn man über verschiedene Verarbeitungen einer Webseite in einer umfassenden Übersicht informieren will, kann es sich anbieten, einen allgemeinen Teil voranzuschicken, der die Angaben zu 1.) und 6.) enthält. In einem speziellen Teil lassen sich dann die Punkte 2.) bis 5.) für unterschiedliche Verarbeitungszwecke behandeln. Die allgemeine Datenschutzerklärung sammelt dann die verschiedenen Arten, mit denen Daten im Kontext des jeweiligen Angebotes erhoben werden. Je nach Webseite kann dies recht umfangreich werden. Daher ist zu empfehlen, zur besseren Orientierung eine Übersicht über die verschiedenen Zwecke an den Anfang der Datenschutzerklärung zu stellen. Damit entsteht für eine typische Webseite mit einem Gästebuch und Nutzungsanalyse folgende Struktur: |
Musterstruktur für eine Datenschutzerklärung einer Webseite mit Gästebuch und NutzungsanalyseA. Allgemeines
B. Verarbeitung zum Zweck der Übermittlung der Seiteninhalte
C. Verarbeitung zur Seitenoptimierung
D. Verarbeitung zu Zwecken der IT-Sicherheit
E. Verarbeitung im Rahmen Ihrer Kontaktaufnahme über unser Kontaktformular
|
Seitenbetreiber sind allerdings (bislang) in der Gestaltung frei. Die hier vorgeschlagene schematische Herangehensweise erleichtert es den Lesern meist, die gesuchte Information zu finden. Manchmal – insbesondere bei komplexeren Diensten – kann sich aber sicher auch ein anderer Aufbau anbieten. Es bleibt zu hoffen, dass sich in naher Zukunft ein einheitlicher Standard der Darstellung herausbildet. Im Idealfall könnten dann die Hinweise so ähnlich aussehen, wie die Packungsbeilagen von Medikamenten. Zudem steht bereits in der DSGVO, dass es wünschenswert wäre, wenn wichtige Aspekte auch mit Bildsymbolen dargestellt werden könnten. Hier ist zu erwarten, dass die EU-Kommission einen Vorschlag unterbreitet. |
Auch bei der Datenschutzerklärung kann es sich empfehlen, sich an den „sieben goldenen Regeln“ zu orientieren. Aus dem Grundsatz der Zweckbindung etwa folgt, dass dem Nutzer die Zwecke der Datenverarbeitung verständlich werden sollten. Es sollte auch erkennbar sein, wer die Daten verarbeitet und somit die „verantwortliche Stelle“ ist. Hierbei kann in aller Regel auf ein Impressum verwiesen werden.
Ratsam ist es, für jede Funktion, die auf einer Website angeboten wird, einen eigenen Absatz vorzusehen. Zumeist entspricht das auch einem Verarbeitungszweck in rechtlicher Hinsicht. Hier sollten auch Angaben dazu gemacht werden,
- welche Arten von Daten erhoben werden,
- wann die Daten gelöscht und
- an wen sie gegebenenfalls weitergegeben werden.
Zusätzliche Speicherungszwecke sollten zur besseren Verständlichkeit mit einem eigenen Absatz abgetrennt werden. Wenn für die Nutzung weiterer Funktionen Einwilligungserklärungen verwendet werden, sollten diese in der Erklärung noch einmal aufgeführt werden.
Nutzt man technische Dienstleister, kann es sich rechtlich betrachtet auch um eine „Auftragsdatenverarbeitung“ handelt. In vielen Fällen kann es dann erforderlich sein, eine „Vereinbarung zur Auftragsdatenverarbeitung“ abzuschließen, mehr Informationen dazu folgen im weiteren Verlauf dieser Service-Reihe.
Schließlich ist es ratsam, am Ende des Textes zeitliche Angaben zu machen, von wann die Datenschutz- und Einwilligungserklärungen sind. Es ist sinnvoll und bei Einwilligungserklärungen sogar erforderlich, auch die alten Versionen der Texte anzubieten. Dabei sollte dargestellt werden, welche Version zu welchem Zeitraum gültig war.
Ein Beispiel für eine Datenschutzerklärung mit Kurzfassung, Angaben zur datenverarbeitenden Stelle und Detail-Erläuterungen zu weiteren Funktionen und Verarbeitungszwecken ist die Erklärung auf iRights.info. |
Vorlage für eine einfache Datenschutzerklärung
Stellt eine Webseite nur statische Inhalte zum Abruf vom eigenen Server zur Verfügung, reicht eine minimale Datenschutzerklärung aus. In der Praxis wird das nur selten ausreichen, da Webseiten zum Beispiel üblicherweise Besuche messen, häufig interaktive Funktionen anbieten oder mit sozialen Netzwerken verzahnt sind.
Umgekehrt kommt aber keine Website ohne Übermittlung von Inhalten aus. Hierzu muss eine Datenschutzerklärung lediglich darstellen, welche Daten bei einer solchen Anfrage übermittelt werden.
Dabei sollte auch angegeben werden, ob die Daten zu Sicherheitszwecken gespeichert werden. Der Betreiber muss dabei gewährleisten, dass das nicht länger als zulässig geschieht. Orientiert man sich an einem Urteil des Bundesgerichtshofs, sollte die Speicherdauer sieben Tage im Normalfall nicht überschreiten. Danach müssen die Daten gelöscht werden.
Eine Datenverarbeitung zur Übermittlung der Onlineinhalte lässt sich zum Beispiel wie folgt beschreiben. Der Text wird in der Regel nicht alle Funktionen eines Webangebotes beschreiben, eignet sich aber als Ausgangspunkt:
Zum Zweck der Übermittlung der von Ihnen aufgerufenen Webseite werden von Ihrem Browser typischerweise unter anderem folgende Informationen (im Rahmen von sogenannten HTTP-Requests) übersandt:
|
Werden die Zugriffe auf die Webseite zu Sicherheitszwecken für sieben Tage protokolliert, bietet sich folgende Formulierung an:
Protokollierung zu Sicherheitszwecken Die oben dargestellten Angaben können zudem für weitere sieben Tage in Protokolldateien gespeichert werden, um mögliche Störungen der Seite analysieren zu können. Sofern solche Störungen auftauchen, kann die Speicherung im Einzelfall auch länger andauern. Sie werden spätestens dann gelöscht, wenn sie zur Ermittlung der Ursachen der Störung nicht mehr erkennbar beitragen können. |
Version in kindgerechter Sprache
Für Betreiber von Kinderseiten bietet es sich an, die Informationen auch noch einmal in kindgerechter Sprache darzustellen. Dies ist keine gesetzliche Pflicht, entspricht aber den pädagogischen Zielsetzungen vieler Seiten. Denkbar wäre es auch, die Informationen noch einmal in anderer Form aufzubereiten, zum Beispiel als Comic oder Video.
Damit du die Webseite sehen kannst, bekommen wir Informationen von deinem Computer. Wenn du eine unserer Webseiten aufrufst, fragt dein Computer einen unserer Computer nach einer bestimmten Internetadresse, der URL. Gleichzeitig schickt uns auch dein Computer folgende Informationen:
Damit sich unsere Webseite in deinem Computer öffnet, müssen wir deine IP-Adresse und die anderen Daten kurz speichern und verarbeiten. Für den Fall, dass unser Computer Probleme hat, speichern wir alle Zugriffe vorsichtshalber für eine Woche. So können wir nachschauen, was genau passiert ist. Falls es solche Probleme gibt, kann es sein, dass wir die Daten auch länger speichern, damit wir Zeit haben, das Problem gründlich zu untersuchen. Danach werden die Daten gelöscht. |
Checkliste zur Erstellung einer Datenschutzerklärung
- Welche Funktionen werden angeboten, zu welchen Zwecken?
- Welche Daten werden dabei erhoben?
- Ist angeben, wer die Daten verarbeitet und worauf sich die Erklärung erstreckt?
- Werden Daten zu Sicherheitszwecken gespeichert? Wenn ja, Speicherung aufführen und Begrenzung beachten
- Bei Änderungen: Sind die alten Versionen verfügbar? Sind die Zeiträume angegeben, in denen eine bestimmte Erklärung galt?
"Aufbau einer einfachen Datenschutzerklärung" von Seitenstark e.V. ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.