Datenschutzerklärung für Websites. Infos für 2022!

Betreibst du eine deutsche oder europäische Internetseite?

Und werden auf deiner Website personenbezogene Daten, z.B. durch Cookies erhoben, verarbeitet, übermittelt oder in sonstiger Weise genutzt?

Dann verlangt die Datenschutz-Grundverordnung (DSGVO), dass die Besucher deiner Internetseite umfassend darüber informiert werden.

Dies erfolgt in der Praxis in Form einer Datenschutzerklärung für Websites.
Die Datenschutzerklärung ist daher neben dem Impressum, die grundlegende Informationspflicht, der ein Website-Betreiber nachkommen muss.

Achtung:
Viele Website-Betreiber denken, dass sie gar keine personenbezogenen Daten auf ihrer Website erheben. Doch fast jede Website macht dies, auch wenn sich der Betreiber der Website darüber oft gar nicht bewusst ist.

Inhalte Anzeigen

Haftungsausschluss:
Die hier dargebrachten Informationen sind unverbindliche Hinweise und stellen insbesondere keine Rechtsberatung dar! Für die inhaltliche Richtigkeit und Vollständigkeit wird keine Gewähr übernommen. Daher wird auch jegliche Haftung ausgeschlossen! Für die verbindliche Klärung rechtlicher Fragen bitten wir dich, einen entsprechenden Fachanwalt zu konsultieren.

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung wird auch kurz DSGVO genannt, oder lang als „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ bezeichnet.

Die DSGVO ist seit dem 25. Mai 2018 in Kraft und gilt für den europäischen Wirtschaftsraum (EWR).

Die DSGVO ist innerhalb der EU natürlich auch unter der jeweiligen Landessprache bekannt, insbesondere aber auch unter den folgenden weiteren Begriffen:

GDPR – General Data Protection Regulation (Englisch)
RGPD – Règlement général sur la protection des données (Französisch) oder Reglamento general de protección de datos (Spanisch)

Wie die DSGVO in den anderen Landessprachen heißt, findest du hier.

Die DSGVO hat nach Art. 1 DSGVO das Ziel, die personenbezogenen Daten von natürlichen Personen der EU zu schützen. Dazu regelt sie, wie man mit personenbezogenen Daten umzugehen hat und welche Pflichten sich daraus ergeben.

Um den Regelungsgehalt der DSGVO genauer zu verstehen, müssen wir uns daher zuerst einmal den Begriff der personenbezogenen Daten genauer anschauen.

Personenbezogene Daten

Um herauszufinden was genau unter den Begriff „personenbezogene Daten“ fällt, muss man nur einen Blick in die Datenschutzgrundverordnung werfen.

Unter Art. 4 Nr. 1 DSGVO wird dieser Begriff legaldefiniert:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Art. 4 Nr. 1 DSGVO

Allgemein gesagt sind personenbezogene Daten alle Informationen, die eine natürliche Person identifizierbar machen.

Zu den personenbezogenen Daten zählen daher vor allem:

IP-Adresse
Vor- und Nachname
Adresse
Telefonnummer
Private E-Mail-Adresse
Geburtsdatum
Ausweisnummer
Standortdaten
Kontodaten
Kundennummer
etc.

Zu den NICHT-personenbezogenen Daten gehören folgende Daten:

Geschäftliche E-Mail-Adresse
Handelsregisternummer
anonymisierte Daten (wobei hier jedoch immer auch eine Einzelfallbetrachtung notwendig ist)

Natürliche Person versus juristische Person

In der Legaldefinition des Art. 4 Nr. 1 DSGVO ist aber nur die Rede von „natürlichen Personen“.

Doch was genau bedeutet „natürliche Person“?

In den Rechtswissenschaften ist eine Person ein Rechtssubjekt, welches Träger von Rechten und Pflichten sein kann. Den Oberbegriff der Personen unterteilt man in 2 Untergruppen:

natürliche Personen
juristische Personen

Natürliche Person

Unter „natürlichen Personen“ versteht man Menschen, die als physische Personen Träger von Rechten und Pflichten sind. Die Rechtsfähigkeit des Menschen beginnt mit der Vollendung der Geburt, § 1 BGB.
Der Begriff der natürlichen Person wird unter anderem in § 13 BGB, § 1897 BGB und § 125a HGB verwendet. Eine eigene Legaldefinition gibt es dafür aber nicht.

Juristische Person

Unter „juristischen Personen“ versteht man Personen, die keine natürlichen Personen sind. Darunter fallen insbesondere Unternehmen, wie die Kapitalgesellschaften GmbH und AG, aber auch die Personengesellschaften OHG und KG und sogar der Verein und die Genossenschaft.
Daneben gibt es noch zahlreiche andere Rechtssubjekte, die unter den Begriff der juristischen Person gezählt werden.

Und was bedeutet dies nun im Rahmen der DSGVO?

In der DSGVO werden die personenbezogenen Daten NUR von natürlichen Personen geschützt. Daher fallen die Daten von Unternehmen NICHT darunter.
Das bedeutet aber nicht, dass die Daten von Unternehmen keinen Schutz erfahren, sie fallen nur nicht unter den Schutzbereich der DSGVO.

Da aber auch Personen, die in ihrer Funktion als Angestellter eines Unternehmens handeln, immer auch als natürliche Person deine Website besuchen, musst du immer die DSGVO beachten.

Als nächstes stellt sich somit die Frage, ob du auf deiner Website auch personenbezogene Daten von natürlichen Personen erhebst, verarbeitest, übermittelst oder in sonstiger Weise nutzt.

Benötige ich eine Datenschutzerklärung für Websites?

Falls du denkst, du brauchst eine solche Datenschutzerklärung nicht, da du keine personenbezogenen Daten auf deiner Website erhebst, wirst du dich höchstwahrscheinlich täuschen.

Denn auch wenn du „nur“ eine Informations-Website erstellt hast, ohne E-Mail-Verteiler, ohne Kontaktformular oder ähnlichen Eingabemasken für persönliche Daten, so musst du dennoch eine Datenschutzerklärung einbinden. Warum?

Weil du höchstwahrscheinlich deine Website bei einem Webhosting-Anbieter und nicht deine Website selbst hostest. Denn nur die wenigstens betreiben selbst einen Webserver für ihre Website.

Server Log-Files

Sobald du einen externen Webhoster nutzt, wird der Webhosting-Anbieter zumindest Server-Logfiles erstellen und für diese benötigst du eine Datenschutzerklärung für die Besucher deiner Website. Ist dies der Fall, muss zwischen dir und dem Webhoster auch noch zusätzlich eine Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung) abgeschlossen werden.

Plugins und Tools

Daneben wirst du vermutlich noch Plugins und eventuell Tracking-Tools einsetzen. Dadurch können von den Besuchern deiner Internetseite auch personenbezogene Daten erhoben und verarbeitet werden. Und auch dies musst du in der Datenschutzerklärung deiner Website aufführen.

Website außerhalb der EU

Wenn du eine ausländische Internetseite betreibst, ist eine solche Datenschutzerklärung eventuell nicht erforderlich.

Dies wäre der Fall, wenn sich dein Angebot nicht an EU-Bürger richtet und du auch keine Niederlassung in der EU hast. Denn aufgrund des Territorialprinzips ist die DSGVO nur innerhalb Europas anwendbar.

Wenn du aber nur in einem Nicht-EU-Land sitzt und sich dein Website-Angebot auch an EU-Bürger richtet, dann gilt die DSGVO allerdings auch für dich und deine Website. Denn durch die DSGVO werden die Bürger der EU / EWR geschützt, unabhängig davon wo sich dein Wohn- und/oder Firmensitz befindet.

Sitzt du im Nicht-EU-Land, musst du aber dennoch unbedingt überprüfen, ob es in dem jeweiligen Land eigene, vergleichbare Regeln wie die der DSGVO gibt. Ist dies der Fall, musst du eben diese Gesetzesvorschriften umsetzen.

Datenschutzerklärung erstellen

Wird eine Datenschutzerklärung benötigt, so stellt sich als nächstes die Frage, wie man an diese gelangt.

Datenschutzerklärung selbst erstellen

Man könnte nun auf die Idee kommen, eine solche Datenschutzerklärung selbst zu erstellen. Aber eine eigene vollumfängliche und wirksame Datenschutzerklärung zu erstellen, ist für Nicht-Juristen natürlich nur sehr schwer möglich.

Möchtest du dies dennoch machen, so gibt es einige Websites, z.B. datenschutz.org, die dir kostenlos Mustertexte zur Verfügung stellen. Ob diese immer der aktuellen Rechtslage entsprechen, ist für Laien allerdings kaum ersichtlich. Dies solltest du dabei immer bedenken.

Mit Hilfe der Mustertexte kannst du dir so eine komplette Datenschutzerklärung selbst zusammenstellen. Aber das ist natürlich auch viel Arbeit diese Textpassagen zu suchen und zusammenzustellen. Und dabei können auch leicht Dinge, meist aus Unkenntnis, vergessen werden. Oder es entstehen bei der Zusammenstellung der Textpassagen und/oder der eigenen Formulierung der Texte Fehler, deren du dir gar nicht bewusst bist.

Somit rate ich dir eher davon ab, diese Datenschutzerklärung selbst zu erstellen.

Besser ist es, dir mal die Angebote der Datenschutz-Generatoren im Internet anzuschauen. Mit Hilfe der Datenschutzerklärung-Generatoren kannst du dir wie für das Impressum, eine Datenschutzerklärung (teils kostenlos) erstellen lassen.

Datenschutzerklärung-Generatoren

Im Internet gibt es zahlreiche Datenschutzerklärungs-Generatoren, so z.B. diese:

e-recht24 von Rechtsanwalt Sören Siebert
Bei diesem Angebot brauchst du im Gegensatz zu den beiden anderen Angeboten nicht schon für die kostenlose Variante deine vollständigen Kontaktdaten und deine Website-URL angeben, sondern nur eine E-Mail-Adresse, an der die Datenschutzerklärung am Ende als PDF (Text und HTML-Code) zugesendet wird.
Bei den kostenpflichtigen Angeboten ist hier auch nicht nur eine Mindest-Vertragslaufzeit von 1 Jahr, sondern auch eine monatliche Laufzeit möglich, die dann aber natürlich deutlich teurer ist. Die monatliche Gebühr fängt bei 29,90 € brutto an. Das Produkt kaufst du über Diggistore24.
Datenschutz-Generator von Rechtsanwalt Dr. Thomas Schwenke.
Hier gibt es eine Besonderheit: Die kostenlose Nutzung der mit Hilfe des Datenschutz-Generators erstellten Datenschutzerklärung ist nur für Privatpersonen und Blogger/Webseitenbetreiber mit einem Umsatz von 5.000 € brutto pro Kalenderjahr erlaubt. Zudem darf bei der kostenlosen Variante der Hinweis „Erstellt mit …“ am Ende der Datenschutzerklärung nicht entfernt werden.
Für alle anderen ist die Erstellung der Datenschutzerklärung kostenpflichtig mit einmalig 118,88 € (die beworbenen 99,90 € sind nur der Netto-Preis!). Dafür wird dir dann 1 Jahr lang Updates und eine Haftung für die Inhalte geboten.
Die AGBs findest du h i er.
WBS Law der Kanzlei Wilde, Beuger, Solmecke
Die Verwendung einer durch diesen Datenschutzerklärungs-Generator erstellten Datenschutzerklärung ist komplett kostenlos, es gibt kein kostenpflichtiges Angebot. Dafür musst du aber immer die Links zur Internetseite von WBS Law und deren Partner drin lassen. Zudem musst du deine kompletten Kontaktdaten inklusive Website-URL hinterlassen.

Diese durch das Generator-Tool erzeugten Texte kannst du dann auf deine Internetseite kopieren. Die so erstellten Datenschutzerklärungen kannst du dann auch grundsätzlich zeitlich unbegrenzt verwenden.

Achtung:
Mit diesen kostenlosen Datenschutz-Generator wird meist nur eine Basis gelegt, die oft nicht ausreicht, um eine Website mit einer vollumfänglichen Datenschutzerklärung abzusichern.

So ist in der kostenlosen Version des Datenschutzerklärungs-Generators von e-recht24, z.B. ein Datenschutzpassus für die Nutzung von Google Analytics, Google Ads, Matomo, YouTube, Amazon Partnerprogramm und vieler weiterer Tools, die du eventuell nutzen möchtest, nicht inbegriffen!

Und auch in der kostenlosen Version des Datenschutzerklärungs-Generators von Dr. Thomas Schwenke ist in der kostenlosen Version meistens keine vollumfängliche Datenschutzerklärung möglich. Zudem ist hier die Verwendung der kostenlosen Datenschutzerklärung an eine Umsatz-Obergrenze von 5.000 € brutto pro Kalenderjahr geknüpft. Übersteigst du diese Summe, musst du die kostenpflichtige Version erwerben.

Nutzt du dies kostenlose Variante der Datenschutz-Generatoren, so musst du die fehlenden Passagen für die von dir genutzten Tools, die nicht abgedeckt werden, in der Datenschutzerklärung dann entweder nachträglich selbst ergänzen oder dir die kostenpflichtige Version des jeweiligen Datenschutz-Generators zulegen.

Ort der Datenschutzerklärung auf der Website

Nach Art. 12 DSGVO müssen die Informationen, die in der Datenschutzerklärung zusammengefasst werden, in „leicht zugänglicher Form“ zur Verfügung gestellt werden.

Für die Datenschutzerklärung erstellst du daher am besten, wie für das Impressum, eine eigene Webseite mit dem Seitentitel „Datenschutzerklärung“. Zudem solltest du auch den Begriff „Datenschutzerklaerung“ (das „ä“ durch „ae“ ersetzen) in der URL des Unterverzeichnisses verwenden. So ist es auch von WordPress schon in der Standardinstallation vorgesehen.

In diese Webseite kommen die ganzen Textpassagen der Datenschutzerklärung hinein. Und diese Webseite muss dann per Link von jeder deiner Webseiten erreichbar sein.

Dazu setzt du den Link zur Datenschutzerklärung am besten unten, neben das Impressum, in die Fußzeile der Website. So ist diese auch von jeder Webseite aus erreichbar. Lies daneben am besten noch die Hinweise, die ich in meinem Beitrag zum Impressum gegeben habe.

Außerdem darf weder die Datenschutzerklärung in das Impressum, noch das Impressum in die Datenschutzerklärung integriert werden. Beides muss separat voneinander zugänglich sein. Das bedeutet, du musst für beides einen separaten Link nutzen.

Exkurs: Auftragsverarbeitung (früher: Auftragsdatenverarbeitung)

Viele werden die sogenannte Auftragsverarbeitung, kurz AV, (früher: Auftragsdatenverarbeitung, kurz: ADV) nach § 28 DSGVO wahrscheinlich gar nicht kennen oder denken, dies beträfe sie nicht. Das Gegenteil ist aber meist der Fall.

Wer als Auftragsverarbeiter tätig werden kann wird in Art. 4 Nr. 8 DSGVO beschrieben:

„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
Art. 4 Nr. 8 DSGVO

Werden auf deiner Webseite personenbezogenen Daten verarbeitet, solltest du dich daher dringend mit diesem Punkt auseinandersetzen.

Eine Auftragsverarbeitung liegt immer dann vor, wenn du einen Dritten (meist einen Dienstleister) mit der Erhebung, Verarbeitung oder Nutzung von Daten beauftragst. Dies geschieht im Rahmen des Betreibens von Websites meist nicht explizit, sondern ist Teil einer anderen Dienstleistung, z.B. beim Webhosting.

Eine solche Auftragsverarbeitung wird daher z.B. nötig, wenn du deine Webseite bei einem externen Anbieter hostest, deine Webseite mit einem Tracking Tool wie Google Analytics analysierst oder du ein Newsletter-Tool nutzt.

Hast du als Webseitenbetreiber für die genutzten Dienstleistungen oder Tools keine gültige Auftragsverarbeitung geschlossen, kann dies Bußgelder und eventuell weitere Sanktionen zur Folge haben.

Viele Anbieter von Dienstleistungen oder Tools bieten dir zum Glück schon bereits vorgefertigte Auftragsverarbeitungsverträge in ihrem Kunden-Portal zum Download an.
Diese Form des Downloads des Vertrags ist auch DSGVO konform, da nicht mehr die unterschriebene Papierform vorliegen muss, sondern auch die elektronische Form genügt. Somit musst du nicht einen Vertrag per Post vom Anbieter zusenden lassen.

Diese Verträge müsstest du eigentlich auch darauf prüfen, ob sie den Anforderungen der DSGVO entsprechen. Bei großen namhaften Anbietern sollte dies der Fall sein, nutzt du aber Tools von kleinen unbekannteren Anbietern, solltest du darauf dann aber ein besonderes Augenmerk legen.

Auf die vorliegende Auftragsverarbeitung solltest du dann auch in deiner Datenschutzerklärung hinweisen.

Haftungsausschluss:
Die hier dargebrachten Informationen sind unverbindliche Hinweise und stellen insbesondere keine Rechtsberatung dar! Für die inhaltliche Richtigkeit und Vollständigkeit wird keine Gewähr übernommen. Daher wird auch jegliche Haftung ausgeschlossen! Für die verbindliche Klärung rechtlicher Fragen bitten wir dich, einen entsprechenden Fachanwalt zu konsultieren.