Brauche ich eine Datenschutzerklärung?
Brauche ich eine Datenschutzerklärung und was ist das überhaupt? Seit Februar 2016 benötigen Webseitenbetreiber eine Datenschutzerklärung.
Dass (fast) jede Webseite ein Impressum benötigt, ist den meisten Webseitenbetreibern hinreichend bekannt. Zusätzlich ist am 24. Februar 2016 jedoch ein weiteres Gesetz in Kraft getreten. Es nennt sich, kurz, griffig, bündig und im besten Beamtendeutsch:
„Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts.“
Ziel des neuen Gesetzes ist eigentlich, im Internet einen besseren Datenschutz durchzusetzen und den Verbraucher vor unseriösen Anbietern zu schützen. In der Praxis bietet das neue Gesetz jedoch umfangreiche Möglichkeiten, Webseitenbetreiber ohne oder mit nicht korrekter Datenschutzerklärung abzumahnen. Von dieser Möglichkeit machen Wettbewerbs- und Verbraucherschutzverbände seitdem Gebrauch.
Brauche ich eine Datenschutzerklärung?
Grundsätzlich muss jeder Webseitenbetreiber ohne Datenschutzerklärung seit Inkrafttreten des neuen Gesetzes mit einer Abmahnung rechnen. Im Rahmen der Datenschutzerklärung muss jeder Webseitenbetreiber Informationen darüber bereitstellen, welche Nutzerdaten er erhebt und wie diese verwendet werden. Denn der Gesetzgeber stellt die personenbezogenen Daten unter Schutz.
Was sind personenbezogene Daten?
Personenbezogene Daten sind vor allem die Nutzerdaten, also Informationen über den Namen, die Adresse sowie Kontaktdaten wie Telefonnummer, Faxnummer oder E-Mail-Adresse des Benutzers.
In der Datenschutzerklärung sind daher unter anderem Informationen darüber bereitzustellen, was mit diesen Daten passiert, wenn sie jemand per E-Mail oder Kontaktformular an den Webseitenbetreiber übermittelt:
Werden diese Informationen an Werbetreibende weitergegeben? Stellen Shopbetreiber die Daten Postversendern wie DHL, UPS oder Hermes bereit? Werden sie zur Bonitätsprüfung eingesetzt?
Die Anforderungen an die Datenschutzerklärung einer Website können sehr weiter reichen. So speichert der Hoster der Website in der Regel so genannte „Server-Log-Files“ ab, die – entsprechend zusammengeführt – Aufschluss über den Besucher geben können. Auch setzen viele Webseiten „Cookies“ ein, um das Webangebot zu personalisieren. Sie können darüber aber auch wiederkehrende Besucher „erkennen.“ Wer beispielsweise bei Ebay oder Amazon eingekauft hat, dem können beim nächsten Besuch auf diesem Wege an seine Interessen angepasste Produkte gezeigt werden.
Werden Zusatz-Features wie beispielsweise Google-Analytics, Facebook-Like-Buttons oder Twitter-Buttons eingesetzt, so muss in der Datenschutzerklärung ebenfalls darauf hingewiesen werden.
Denn was passiert, wenn jemand dauerhaft bei Facebook angemeldet ist und auf der Website auf einen LIKE-Button klickt? Darüber kann Facebook feststellen, von welcher Webseite der Benutzer kommt und somit entsprechende Nutzerinteressen mit dem Facebook-Account verbinden.
Was muss in einer Datenschutzerklärung stehen?
Welche Angaben in einer Datenschutzerklärung stehen müssen, kann von Website zu Website höchst unterschiedlich sein. Webshops haben oft besonders umfangreiche Datenschutzerklärungen. Auch wer Zusatzfunktionen wie Google Maps, Google-Analytics, G+/Facebook/Twitter/Instagram-Buttons einsetzt, muss in der Datenschutzerklärung seiner Website drauf hinweisen.
Mögliche datenschutzrechtliche Angaben sind u.a.
- Allgemeiner Disclaimer
- Informationen zur Speicherung von Log-Dateien auf dem Server,
- Informationen zu Cookies (sofern solche eingesetzt werden),
- SSL-Verschlüsselung,
- Speicherung von Daten, die durch ein Kontaktformular abgefragt werden,
- Speicherung von Daten, die über Newsletteranmeldungen abgefragt werden,
- Nutzerregistrierung,
- Verarbeitung von Kundendaten und Vertragsdaten,
- Datenschutz für Kommentarfunktion (z.B. im Rahmen eines Blogs),
- Datenschutzerklärungen für Google-Angebote (z.B. Google-Analytics, Google-Analytics-Auftragsdatenverarbeitung, Google Marketing Dienste, Google-IP-Anonymisierung, Google+, Google Web Fonts, Google Maps),
- Datenschutzerklärung für Piwik, etracker, WordPress Stats,
- Datenschutzerklärung für Facebook, LinkedIn, Twitter, Xing, Instagram, Pinterest, Tumblr, YouTube, SoundCloud,…
- Das Amazon Partnerprogramm ist ebenfalls in der Datenschutzerklärung zu berücksichtigen.
Eine Datenschutzerklärung sollte unbedingt zu der jeweiligen Website „passen.“
Es ist nicht ausreichend, 1:1 die Datenschutzerklärung einer fremden Website zu übernehmen. Wenn diese z.B. Google-Analytics einsetzt, man selbst jedoch mit Piwik arbeitet, so ist die eigene Datenschutzerklärung entsprechend anzupassen.
Wer mit der Erstellung einer Datenschutzerklärung keinen Anwalt beauftragen möchte, findet im Internet kostenpflichtige aber auch kostenlose Tools zur Erstellung einer eigenen Datenschutzerklärung – beispielsweise:
- https://www.e-recht24.de/muster-datenschutzerklaerung.html
- https://www.activemind.de/datenschutz/datenschutzhinweis-generator/
- https://www.ratgeberrecht.eu/leistungen/muster-datenschutzerklaerung.html
Stichworte: Brauche ich eine Datenschutzerklärung?, Was ist eine Datenschutzerklärung?
Halli Hallo, ich und mein Bruder betreiben quasi als Hobby ein Gaming Clan, eine Gemeinschaft zum spielen auf Konsole. Wir rekrutieren Mitglieder über unsere Homepage und sammeln Daten per Google Formular. Eine Datenschutzerklärung haben wir, nur laut Gesetzt muss man ein Beauftragten haben wenn man ein Gewerbe hat mit mindestens 20 Mitarbeiter.
Und dieser Beauftragte muss bei der zuständigen Behörde gemeldet.
Muss man also ein Datenschutzbeauftragten angeben, selbst wenn man kein Gewerbe hat, wir es ja als Hobby machen, und selbst wenn wir keine Fachkundigen in dem Gebiet sind ?
Ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, hängt vom Umgang mit personenbezogenen Daten ab. Im Fokus steht das Ausmaß der Datenverarbeitung. Sollten mehr als mindestens 10 Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben, besteht die Pflicht.
Quelle: mein-datenschutzbeauftragter.de/bestellung-datenschutzbeauftragten/
Wenn ihr also einen Gaming-Club betreibt, habt ihr vermutlich keine 10 MITARBEITER, die regelmäßig mit der automatisierten Datenverarbeitung zu tun haben und müsst in diesem Fall auch keinen Datenschutzbeauftragten bestellen und benennen.
Hallo,
ich habe eine Praxis für Coaching und Lebensberatung, jedoch keine Website sondern lediglich Flyer und Visitenkarten die ich bei verschiedenen Stellen auslege.
Wenn Klienten zu mir kommen nehme ich für meine Handakte Daten wie Name, Anschrift, Geb.datum auf. Ggf. kommt eine Kommunikation per Email oder WhatsApp oder Messenger zustande.
Wie verhält es sich in diesem Fall mit einer Datenschutzerklärung?
Hallo Gudrun,
wenn Sie keine Webseite betreiben, kann selbstverständlich auf diesem Wege keine Datenschutzerklärung bereitgestellt werden.
Möchten Sie einen eigenen Internetauftritt realisieren und Ihre Patienten dort über Ihre Praxis informieren, so können Sie uns gerne darauf ansprechen.
Auch ohne Webauftritt müssen Sie die Vorschriften der DSGVO jedoch grundsätzlich beachten. Sollten Sie für Ihre Tätigkeit im Bereich Coaching und Lebensberatung einem Verband angehören, so werden Ihnen dort in der Regel umfangreiche Informationen bereitgestellt. Wichtig ist, dass die einzuhaltenden DSGVO-Anforderungen sich je nach Betriebsgröße, Branche bzw. Art der Tätigkeit in Details unterscheiden können.
Einen guten Leitfaden mit klar verständlichen Informationen bietet ihnen beispielweise das Buch „Erste Hilfe zur DSGVO“.
Die Thematik ist umfangreich und lässt sich an dieser Stelle nicht abschließend oder gar rechtsverbindlich klären. Wichtig ist bei Ihrer Praxis unter anderem:
Sie müssen Ihre Patienten über den Datenschutz aufklären – das ist z.B. über einen Aushang im Wartezimmer möglich. Sie sollten sich von jedem Ihrer Patienten auch eine entsprechende Erklärung unterschreiben lassen, dass er/sie über den Datenschutz aufgeklärt wurde. Schicken Sie eine E-Mail an mehrere Empfänger, dürfen die einzelnen Empfänger ihre „Mit-Empfänger“ nicht aus dem CC-Feld auslesen können – stattdessen ist das BCC-Feld zu verwenden. Daten müssen regelmäßig gesichert werden und so vor unbeabsichtigtem Verlust geschützt werden.
Computer sind mit Passwörtern zu schützen, das gilt auch für Tablets oder Smartphones sofern über sie auf Patientendaten oder Korrespondenzen mit Patienten zugegriffen werden kann. Schränke müssen abschließbar sein und auch tatsächlich abgeschlossen werden, wenn Patienten im Praxisraum sind. Selbstverständlich muss auch die Praxis ausreichend gesichert und bei Nicht-Nutzung stets abgeschlossen sein.
Nicht mehr benötigte personenbezogenen Daten sind je nach Art der Unterlagen nach 6 bzw. 10 Jahren zu löschen.
All diese (sowie weitere) Maßnahmen mussten bereits alle bis spätestens zum 25.05.2018 getroffen und sämtlich umgesetzt werden. Im Falle einer Prüfung drohen empfindliche Strafen, wenn die Vorgaben der DSGVO nicht eingehalten werden.
Sie sollten die Aufgabe daher möglichst zeitnah angehen.
Hinweis: Wir sind eine Webagentur und bieten professionelles Webdesign an. Daher sind vorstehende Informationen als Empfehlungen und nicht als Rechtsberatung zu verstehen.
Beste Grüße
A Vista Studios
Guten Tag,
ich betreibe als Gesundheits-und Ernährungsberaterin und Wellnessmasseurin eine Webseite.
Allerdings gibt es keine Möglichkeit, dort Daten einzugeben. Die einzigen Kontaktmöglichkeit ist mir eine E-Mail zu schreiben oder mich anzurufen und das ist aber freiwillig. Brauche ich da trotzdem eine Datenschutzerklärung?
Hallo Frau Grimm,
ja, Sie benötigen eine Datenschutzerklärung. Ihre Website ist nicht ausschließlich privater Natur. Sie informieren über Ihre Leistungen, nennen Referenzen und Preise usw. Interessente können Sie kontaktieren und geben dabei Informationen über sich preis. Dadurch besteht auch eine Informationspflicht gegenüber dem Besucher bzgl. Datenschutz. Ihr Impressum ist übrigens nicht rechtssicher. Hier fehlen Angaben, die bereits jetzt (3 Tage vor Inkrafttreten der DSGVO) erforderlich sind. Oben links auf der Seite wird übrigens der UA-Code von Google Analytics ausgegeben, weil der Code nicht korrekt implementiert wurde.
Beste Grüße!
[…] Datenschutzerklärung […]