Braucht jede Website eine Datenschutzerklaerung?

Ja, wenn Ihre Website personenbezogene Daten verarbeitet (was fast immer der Fall ist - Kontaktformulare, Analytics, Cookies). Die Datenschutzerklaerung muss leicht auffindbar sein, typischerweise ueber einen Link im Footer.

Darf ich eine Datenschutzerklaerung von einer anderen Website kopieren?

Das ist riskant. Wenn die Erklaerung nicht zu dem passt, was Ihr Unternehmen tatsaechlich tut, kann das bei einer Pruefung gegen Sie verwendet werden. Die Aufsichtsbehoerde sieht dann ein Dokument, das nicht die Realitaet widerspiegelt.

Wie oft muss ich meine Datenschutzerklaerung aktualisieren?

Nach jeder wesentlichen Aenderung Ihrer Verarbeitungen: ein neues Tool, ein neuer Auftragsverarbeiter, ein neuer Zweck. Pruefen Sie mindestens jaehrlich, ob Ihre Erklaerung noch aktuell ist.

Brauche ich eine separate Datenschutzerklaerung fuer Mitarbeiter?

Ja, eine interne Datenschutzerklaerung fuer Mitarbeiter ist von Ihrer Website-Datenschutzerklaerung getrennt. Sie muessen Mitarbeiter darueber informieren, wie Sie deren personenbezogene Daten verarbeiten (Gehaltsabrechnung, Personalakten, Videoueberwachung, GPS-Tracking).

Datenschutzerklaerung erstellen - Was muss sie enthalten? (DSGVO)

Ihre Datenschutzerklaerung ist Pflicht und muss klar erlaeutern, welche personenbezogenen Daten Sie verarbeiten und warum. Dieser Artikel erklaert, was sie enthalten muss, mit einer konkreten Struktur.

Warum ist eine Datenschutzerklaerung Pflicht?

Die DSGVO verlangt, dass Sie betroffene Personen darueber informieren, wie Sie deren personenbezogene Daten verarbeiten. Die Datenschutzerklaerung ist das Mittel dafuer.

Es geht nicht um ein juristisches Dokument, das niemand liest. Es geht darum, klar und ehrlich zu kommunizieren ueber:

Welche Daten Sie erheben
Warum Sie sie erheben
Was Sie damit machen
Wie lange Sie sie aufbewahren
Welche Rechte Betroffene haben

Was muss sie enthalten?

Die DSGVO (Artikel 13 und 14) schreibt genau vor, welche Informationen Sie bereitstellen muessen. Nachfolgend die Pflichtbestandteile:

1. Wer sind Sie?

Name und Kontaktdaten Ihrer Organisation (der Verantwortliche). Falls Sie einen Datenschutzbeauftragten (DSB) haben, auch dessen Kontaktdaten.

2. Welche Daten erheben Sie?

Seien Sie konkret. Nicht “persoenliche Informationen”, sondern:

Name, E-Mail-Adresse, Telefonnummer (ueber Kontaktformular)
IP-Adresse, Browsertyp, besuchte Seiten (ueber Analytics)
Zahlungsdaten (ueber den Bestellprozess)
Mitarbeiterdaten (ueber HR-Prozesse)

3. Wofuer verwenden Sie die Daten?

Pro Datenkategorie den Zweck angeben. Beispiele:

“Um Ihre Anfrage ueber das Kontaktformular zu beantworten”
“Um Ihre Bestellung zu bearbeiten und zu versenden”
“Um unsere Website anhand von Nutzungsstatistiken zu verbessern”
“Um unseren Newsletter zu versenden (nur mit Ihrer Einwilligung)“

4. Auf welcher Rechtsgrundlage verarbeiten Sie?

Die DSGVO kennt sechs Rechtsgrundlagen. Die am haeufigsten genutzten fuer KMU:

Einwilligung (z.B. Newsletter, Marketing-Cookies)
Vertragsdurchfuehrung (z.B. Bestellabwicklung)
Gesetzliche Verpflichtung (z.B. buchhalterische Aufbewahrungspflicht)
Berechtigtes Interesse (z.B. Sicherheit, Analytics)

5. Mit wem teilen Sie die Daten?

Alle Parteien, die Zugang zu den Daten haben:

Ihr Steuerberater
Ihr E-Mail-Marketing-Tool (Mailchimp, ActiveCampaign)
Ihr Hosting-Anbieter
Google Analytics (falls genutzt)
Zahlungsanbieter (Mollie, Stripe)

Geben Sie an, ob Daten ausserhalb der EU verarbeitet werden.

6. Wie lange bewahren Sie die Daten auf?

Pro Datentyp die Aufbewahrungsdauer:

Kundendaten: Dauer der Geschaeftsbeziehung + 2 Jahre
Rechnungsdaten: 7 Jahre (gesetzliche Aufbewahrungspflicht)
Kontaktformular: 2 Jahre nach letztem Kontakt
Analytics-Daten: maximal 26 Monate

7. Welche Rechte haben Betroffene?

Verweisen Sie auf die Rechte unter der DSGVO:

Recht auf Auskunft
Recht auf Berichtigung
Recht auf Loeschung
Recht auf Einschraenkung
Recht auf Datenuebertragbarkeit
Widerspruchsrecht

Geben Sie an, wie Betroffene diese Rechte ausueben koennen (E-Mail-Adresse, Kontaktformular) und dass sie eine Beschwerde bei der Aufsichtsbehoerde einreichen koennen.

8. Cookies

Wenn Ihre Website Cookies setzt, beschreiben Sie welche Cookies, zu welchem Zweck und wie Besucher ihre Einwilligung widerrufen koennen. Dies kann in der Datenschutzerklaerung selbst oder in einer separaten Cookie-Richtlinie erfolgen.

Haeufige Fehler

Aus dem Internet kopiert ohne Anpassung an die eigene Situation - eine generische Erklaerung, die nicht zum Unternehmen passt, ist schlimmer als keine Erklaerung
Juristischer Fachjargon, den niemand versteht - schreiben Sie in der Sprache Ihrer Zielgruppe
Veraltet, weil Sie ein neues Tool eingefuehrt, aber die Erklaerung nicht aktualisiert haben
Schwer auffindbar auf Ihrer Website - platzieren Sie einen Link im Footer jeder Seite
Keine separate Erklaerung fuer Mitarbeiter - Ihre Beschaeftigten haben dasselbe Recht auf Information wie Ihre Kunden

Checkliste

Ihre Erklaerung nennt Ihren Firmennamen und Kontaktdaten
Sie beschreiben konkret, welche Daten Sie erheben und wofuer
Sie nennen die Rechtsgrundlage pro Verarbeitung
Sie listen alle Parteien auf, mit denen Sie Daten teilen
Sie beschreiben die Aufbewahrungsfristen
Sie informieren Betroffene ueber ihre Rechte
Sie geben an, wie Betroffene Kontakt aufnehmen koennen
Sie erwaehnen das Recht auf Beschwerde bei der Aufsichtsbehoerde
Die Erklaerung ist in klarer, verstaendlicher Sprache verfasst
Die Erklaerung ist leicht auf Ihrer Website auffindbar (Link im Footer)

auto_awesome Datenschutzerklaerung automatisch generieren lassen?

GDPRWise scannt Ihre Website, erkennt welche Daten Sie verarbeiten und mit wem Sie sie teilen, und generiert automatisch eine Datenschutzerklaerung, die zu Ihrer Situation passt.

Kostenlosen Scan starten

Datenschutzerklaerung erstellen: Was muss sie enthalten?