Eine Datenschutzerklärung1 ist eine Erklärung, die eine betroffene Person darüber informiert, wie ihre Daten verarbeitet werden. Im Falle der Website informiert eine Datenschutzerklärung den Besucher über die Verarbeitung seiner Daten und die Zwecke der Verarbeitung (Website-Optimierung, Marktanalyse usw.).
Wenn man ein Unternehmen aufbaut oder eine Website betreibt, ist dies nicht der aufregendste Teil der Arbeit, aber es ist wichtig, dieses Kästchen anzukreuzen. Um Ihnen das Leben leichter zu machen, haben wir eine Liste von Dingen zusammengestellt, die Sie beachten sollten.
- Was ist der Zweck einer Datenschutzrichtlinie?
- Brauche ich eine Datenschutzrichtlinie für Google Analytics?
- Wie schreibt man eine Datenschutzrichtlinie?
- Ein Beispiel für eine mehrstufige Datenschutzrichtlinie
- Vorlage für Google Analytics-Datenschutzbestimmungen
- Wann sollte meine Datenschutzrichtlinie angezeigt werden?
- Welche Informationen sollte meine Datenschutzrichtlinie enthalten?
- Abschließende Überlegungen
Lasst uns eintauchen!
Was ist der Zweck einer Datenschutzrichtlinie?
Der Hauptzweck einer Datenschutzerklärung besteht darin, eine betroffene Person (in diesem Fall den Besucher Ihrer Website) gemäß dem Transparenzprinzip2 über die Verarbeitung ihrer Daten zu informieren.
Sie sollten den Nutzer über die Verarbeitung seiner Daten informieren - welche Daten Sie verarbeiten, auf welcher Grundlage, zu welchem Zweck usw. Sie sollten die Nutzer auch über ihre Rechte nach der DSGVO informieren (z. B. über die Möglichkeit, die Löschung der Daten zu verlangen und eine Beschwerde einzureichen). Außerdem sollten Sie die Ausübung dieser Rechte erleichtern, indem Sie eine Anlaufstelle für alle Anfragen oder Fragen zur Verfügung stellen, die der Nutzer haben könnte.
Denken Sie daran, dass sich eine Datenschutzrichtlinie direkt an den Nutzer wendet. Die Informationen sollten so klar und verständlich wie möglich sein3. Verwenden Sie eine klare Sprache und überlassen Sie das Fachchinesisch den Anwälten!
Brauche ich eine Datenschutzrichtlinie für Google Analytics?
Ja, die brauchen Sie. Google Analytics sammelt Cookies und IP-Adressen, die nach der Datenschutz-Grundverordnung personenbezogene Daten sind. Außerdem benötigen Sie eine Zustimmung zur Verarbeitung von Cookies, da diese unter die Datenschutzrichtlinie für elektronische Kommunikation4 fallen. Dies gilt sowohl für Cookies von Erstanbietern als auch für Cookies von Drittanbietern (letztere sind mit einer anderen Domäne verbunden als der, die der Nutzer gerade besucht, und greifen in der Regel stärker in die Privatsphäre ein).
Wie schreibt man eine Datenschutzrichtlinie?
Das ist keine Raketenwissenschaft, aber es ist auch nicht einfach. Ihre Datenschutzerklärung muss viele spezifische Informationen enthalten, um die Anforderungen von Art. 13 GDPR ZU ERFÜLLEN. Gleichzeitig muss sie prägnant, leicht zugänglich und klar sein, um die Anforderungen von Art. 12(1) GDPR ZU ERFÜLLEN.
Es kann schwierig sein, alle geforderten Informationen aufzunehmen und gleichzeitig Ihre Richtlinie einfach und zugänglich zu halten, aber ein mehrstufiger Ansatz5 kann Ihnen helfen, ein Gleichgewicht zu finden. Eine mehrstufige Datenschutzrichtlinie enthält die wichtigsten Informationen im Voraus. Für detailliertere Informationen wird der Leser auf andere Quellen verwiesen (z. B. durch Verlinkung auf verschiedene Seiten oder auf die entsprechenden Überschriften einer einzelnen, ausführlicheren Mitteilung).
Ein Beispiel für eine mehrstufige Datenschutzrichtlinie
Zunächst ein notwendiger Hinweis: Dies ist keine Rechtsberatung und sollte auch nicht als solche verstanden werden. Jeder Hinweis muss auf eine bestimmte Website zugeschnitten sein. Bitte fügen Sie nicht einfach Ihren Hinweis von uns oder von irgendwo anders im Internet ein! Wenn Sie sich mit dem Datenschutzrecht auskennen, schreiben Sie selbst einen Hinweis oder lassen Sie ihn von einem Experten erstellen.
Hier ist eine Beispielvorlage für eine mehrstufige Datenschutzrichtlinie:
Wir von awesomewebsite.com verwenden Google Analytics, um Daten zu sammeln. Wir benötigen diese Daten, um zu verstehen, wie Sie unsere Website nutzen, damit wir deren Design und Funktionalität verbessern können. Außerdem benötigen wir die Daten, um unsere Marketingkampagnen optimal zu gestalten.
Mit Ihrer Zustimmung wird Google Analytics Ihre persönlichen Daten (Cookies und IP-Adresse) verarbeiten und sammeln, um uns wertvolle Informationen zu liefern. Google Analytics überträgt Ihre Daten in die Vereinigten Staaten und speichert sie für 6 Monate. Um mehr über die Datenübertragungsrichtlinien von Google zu erfahren, klicken Sie hier.
Sie haben bestimmte Rechte in Bezug auf Ihre Daten: Sie können zum Beispiel verlangen, dass wir sie löschen oder Ihnen eine Kopie zur Verfügung stellen. Wir übernehmen die Verantwortung für die Verarbeitung Ihrer Daten. Wir stehen Ihnen zur Verfügung, um Ihre Fragen zu beantworten und Ihre Anfragen zu bearbeiten. Klicken Sie hier, um mehr über Ihre Rechte zu erfahren und um herauszufinden, wie Sie sich mit uns in Verbindung setzen können.
Bitte geben Sie Ihre Cookie-Präferenz an:
- Ich bin mit der Verarbeitung von nicht wesentlichen Cookies einverstanden
- Ich lehne die Verarbeitung nicht wesentlicher Cookies ab Ohne Ihre Zustimmung werden wir keine Cookies lesen oder schreiben.
Vorlage für Google Analytics-Datenschutzbestimmungen
Wir von awesomewebsite.com verwenden Google Analytics, um Daten zu sammeln. Wir benötigen diese Daten, um zu verstehen, wie Sie unsere Website nutzen, damit wir deren Design und Funktionalität verbessern können. Außerdem benötigen wir die Daten, um unsere Marketingkampagnen optimal zu gestalten.
Sie müssen alle Zwecke angeben, für die Sie die Daten verarbeiten, und diese klar voneinander abgrenzen. Dies ist nur ein Beispiel: Wenn Sie personenbezogene Daten auch für andere Zwecke sammeln, sollten Sie dies erwähnen.
Mit Ihrer Zustimmung wird Google Analytics Ihre personenbezogenen Daten (Cookies und IP-Adresse) verarbeiten und sammeln, um uns wertvolle Informationen zu liefern. Google Analytics überträgt Ihre Daten in die Vereinigten Staaten und speichert sie für x Monate. Um mehr über die Datenübertragungsrichtlinien von Google zu erfahren, klicken Sie hier.
Über diesen Link können Sie erklären, dass Google Ireland Ltd. Daten an Google LLC überträgt und dass sie Standardvertragsklauseln zum Schutz der Daten verwenden. Sie sollten im Klartext erklären, was das bedeutet. Zum Beispiel:
Standardvertragsklauseln sind rechtliche Klauseln, die von der Europäischen Kommission verfasst wurden. Sie sind Teil eines Vertrags zwischen Google Ireland Ltd. und Google LLC, und Google LLC muss sie befolgen. In den Standardvertragsklauseln wird Google LLC mitgeteilt, was es mit Ihren Daten tun kann und was nicht.
Es ist nicht notwendig, den Inhalt der Klauseln wiederzugeben, aber Sie können einen Link zu Googles eigener Dokumentation angeben.
Bitte beachten Sie, dass die Bereitstellung dieser Informationen die Datenübermittlung nicht rechtmäßig macht. Google Analytics ist in vier EU-Ländern (Österreich, Frankreich, Italien und Dänemark) praktisch verboten, da die Datenübertragungen zwischen Google Irland und Google LLC gegen Kapitel V der Datenschutz-Grundverordnung verstoßen, und weitere Länder könnten folgen. Realistisch gesehen können Sie nichts dagegen tun: Wenn Sie Google Analytics verwenden, gehen Sie ein Compliance-Risiko ein. Wir haben hier mehr zu diesem Thema geschrieben.
Infolgedessen ist eine Debatte darüber entbrannt, ob alle Versionen von Google Analytics als rechtswidrig eingestuft werden oder nur die aktuelle Version (Universal Analytics) - die kurze Antwort lautet, dass die Verstöße für beide Versionen von Google Analytics gelten. Wir haben in diesem Blog ausführlicher darüber geschrieben.
Sie haben bestimmte Rechte in Bezug auf Ihre Daten: Sie können zum Beispiel verlangen, dass wir sie löschen oder Ihnen eine Kopie zur Verfügung stellen. Wir übernehmen die Verantwortung für die Verarbeitung Ihrer Daten. Wir stehen Ihnen zur Verfügung, um Ihre Fragen zu beantworten und Ihre Anfragen zu bearbeiten. Klicken Sie hier, um mehr über Ihre Rechte zu erfahren und um herauszufinden, wie Sie sich mit uns in Verbindung setzen können.
Hier können Sie sich auch über das Recht auf Auskunft6, das Recht auf Widerruf der Einwilligung7, das Recht auf Löschung8, das Recht auf Einreichung einer Beschwerde in dem Mitgliedstaat, in dem die betroffene Person lebt oder arbeitet9, und gegebenenfalls das Recht auf Widerspruch10 informieren. Wenn Sie personenbezogene Daten ohne Einwilligung verarbeiten11, sollten Sie genau angeben, welche Datenkategorien der Nutzer von Ihnen löschen lassen kann. Und stellen Sie klar, dass Sie für die Bearbeitung von Anfragen zuständig sind, nicht Google.
Sie müssen immer Kontaktinformationen für Ihre Organisation angeben, und wenn Sie einen DSB und einen EU-Vertreter haben, müssen Sie auch einen Kontakt für diese angeben. Kontaktinformationen sind in der Praxis sehr wichtig. Füllen Sie nicht einfach eine E-Mail aus und vergessen Sie sie: Stellen Sie sicher, dass die Anfragen an jemanden weitergeleitet werden, der sie tatsächlich bearbeitet! Unternehmen werden oft mit Geldstrafen belegt, wenn sie nicht umgehend auf Anfragen reagieren.
Wenn Sie einen behördlichen Datenschutzbeauftragten (DSB) haben, leiten Sie alle Anfragen an diesen weiter - die Bearbeitung gehört zu den Aufgaben des DSB. Wenn Sie keinen behördlichen Datenschutzbeauftragten haben, empfiehlt es sich, jemanden in Ihrem Unternehmen mit der Beantwortung von Anfragen zu betrauen. Geben Sie in Ihrer Datenschutzrichtlinie12 eine direkte Kontaktperson an, damit Anfragen in der Post der Organisation nicht übersehen werden.
Bitte geben Sie Ihre Cookie-Präferenz an:
- Ich bin mit der Verarbeitung von nicht wesentlichen Cookies einverstanden
- Ich lehne die Verarbeitung nicht notwendiger Cookies ab Ohne Ihre Zustimmung werden wir keine Cookies lesen oder schreiben.
Diese Wahlmöglichkeit muss klar und unmissverständlich dargestellt werden: Ja oder Nein. Wenn der Nutzer "nein" sagt, respektieren Sie seine Entscheidung und zeigen Sie ihm das Cookie-Banner nicht mehr.
Es kann sein, dass ein Nutzer Cookies für bestimmte Zwecke zulassen möchte, z. B. kann er Erstanbieter-Cookies zur Optimierung der Website akzeptieren und Marketing-Cookies von Drittanbietern ablehnen. Die Option "Anpassen" ist akzeptabel, wenn die Option, alle Cookies abzulehnen, sichtbar, leicht zugänglich und klar formuliert ist. Zwingen Sie die Benutzer nicht, fünf verschiedene Cookie-Einstellungen zu durchlaufen, um "Nein" zu sagen, und zwingen Sie sie nicht zu verwirrenden Entscheidungen wie "Akzeptieren" versus "Anpassen".
Viele Unternehmen entwerfen die Cookie-Banner nicht selbst und verlassen sich stattdessen auf eine Plattform zur Verwaltung von Einwilligungen. Es gelten dieselben Empfehlungen: Kurz gesagt, stellen Sie sicher, dass Ihre Cookie-Banner eindeutig sind und es den Nutzern ermöglichen, ihre Zustimmung problemlos zu verweigern.
Wenn Sie personenbezogene Daten ohne Zustimmung erheben, sollten Sie auch diese Informationen angeben. Sie könnten zum Beispiel einen letzten Satz hinzufügen wie:
Wir werden auch dann einige Daten sammeln, wenn Sie nicht zustimmen. Klicken Sie hier, um mehr zu erfahren.
In dem Link können Sie angeben, welche Daten Sie sammeln und auf welcher Rechtsgrundlage13.
Wann sollte meine Datenschutzrichtlinie angezeigt werden?
Wenn Sie Google Analytics verwenden, sollten Ihre Datenschutzbestimmungen angezeigt werden, sobald der Nutzer auf Ihrer Website landet14. Sie sollten sie auch in Ihre Website aufnehmen, damit wiederkehrende Nutzer leicht auf die Informationen zugreifen können.
Aus praktischer Sicht ist es sinnvoll, Ihre Richtlinie mit Ihrem Cookie-Banner zu verbinden, wie wir es in unserer Vorlage getan haben. Einen Cookie-Banner brauchen Sie sowieso, und ein lästiges Pop-up ist besser als zwei.
Eine Randbemerkung: Nach der Datenschutz-Grundverordnung sollte die Rücknahme der Einwilligung genauso einfach sein wie die Erteilung15. Ihre Website sollte es den Nutzern also ermöglichen, ihre Einwilligung auf irgendeine Weise zu widerrufen. Es ist eigentlich egal, wie, solange die Option problemlos und leicht zugänglich ist. Es könnte also sinnvoll sein, eine Opt-out-Schaltfläche oder eine ähnliche Option in die Richtlinien auf Ihrer Website aufzunehmen. Denken Sie aber bitte daran, dass dieser Opt-out-Mechanismus selbst keine Zustimmung einholen kann: Das müssen Sie weiterhin in Ihrem Cookie-Banner tun!
Welche Informationen sollte meine Datenschutzrichtlinie enthalten?
Ihre Datenschutzerklärung sollte alle Informationen enthalten, die in Art. 13 GDPR. Im Fall von Google Analytics wären das:
- den Zweck und die Rechtsgrundlage für die Verarbeitung
- Kontaktdaten des für die Verarbeitung Verantwortlichen, des DSB und des EU-Beauftragten (falls zutreffend)
- die Rechte des Nutzers als betroffene Person (einschließlich des Rechts, eine Beschwerde einzureichen)
- ob die Daten an Dritte weitergegeben werden
- ob die Daten außerhalb der USA übermittelt werden und mit welchen Garantien
- wie lange die Daten gespeichert werden
Sie können sich Art. 13 als eine Checkliste betrachten, die Sie durchgehen können, um sicherzustellen, dass Ihre Richtlinie den Anforderungen entspricht. Tatsächlich haben wir unsere Vorlage mit diesem Artikel im Hinterkopf geschrieben. Es reicht jedoch nicht aus, alle Informationen abzudecken: Wie bereits erwähnt, müssen diese Informationen in klarer und zugänglicher Form bereitgestellt werden.
Abschließende Überlegungen
Unsere Vorlage enthält die Informationen als Teil eines Cookie-Banners, weil das praktisch ist. Aber um das klarzustellen: In einer Datenschutzerklärung geht es nicht nur um Cookies: Wenn Sie andere personenbezogene Daten sammeln, müssen Sie den Nutzer auch darüber informieren.
Ein letztes Wort: Wenn es um den Datenschutz geht, klaffen Theorie und Praxis weit auseinander. Viele Websites bieten weniger umfassende Informationen als vorgeschrieben, und nur sehr wenige Websites erlauben es, die Zustimmung problemlos zurückzuziehen. Sie könnten also damit durchkommen, aber Sie wären immer noch nicht GDPR-konform.
Unterm Strich: Wenn Sie die geforderten Informationen nicht angeben, tun Sie das auf eigene Gefahr (und fühlen sich schlecht dabei).
... was wäre, wenn das (meiste) gar nicht nötig wäre?\ ... was wäre, wenn es ein Analysetool gäbe, das Webanalysen ohne eine ausführliche Datenschutzerklärung ermöglicht?\ ... was wäre, wenn Sie Einblicke in Ihren Website-Verkehr gewinnen könnten, ohne einen Cookiebanner zu benötigen?
Ja, das ist möglich... wir haben Simple Analytics mit diesem Ziel vor Augen entwickelt. Wir wollten ein Webanalyse-Tool entwickeln, das Einblicke in den Website-Traffic bietet, ohne dass Cookies zur Erfassung persönlicher Daten erforderlich sind. Wir glauben an die Schaffung eines unabhängigen und besucherfreundlichen Webs. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.
#1 Um pedantisch zu sein, dies ist eigentlich ein Datenschutzhinweis. Eine Datenschutzrichtlinie ist ein internes Dokument, das Regeln und Richtlinien für die Verarbeitung personenbezogener Daten innerhalb einer Organisation festlegt. Die beiden Begriffe werden oft austauschbar verwendet, auch von Datenschutzexperten [^2]: Art. 5(1) GDPR. [^3]: Art. 12(1) GDPR. [^4]: Art. 5(3) ePrivacy-Richtlinie [^5]: WP29-Leitlinien zur Transparenz gemäß der Verordnung 2016/679, par. 35 und 36. [^6]: Art. 15 GDPR. [^7]: Art. 7(3) GDPR. [^8]: Art. 17 GDPR. [^9]: Art. 77 GDPR. Siehe auch WP29, Guidelines on transparency under Regulation 2016/679, Annex, S. 39. [^10]: Dies gilt nur, wenn Sie Daten auf der Grundlage eines berechtigten Interesses verarbeiten: siehe Art. 21 GDPR. [^11]: Ja, das kann rechtmäßig sein - aber nicht für Cookies. Siehe Art. 6(1) GDPR und unseren Blog zur Einwilligung[^12]: Um das klarzustellen, müssen Sie immer noch allgemeine Kontaktinformationen für Ihre Organisation angeben [^13]: Rechtsgrundlagen sind ein kompliziertes Thema. In unserem Blog über die Einwilligung wird kurz auf den Grundsatz der Rechtmäßigkeit und einige andere Rechtsgrundlagen als die Einwilligung eingegangen. Vielleicht kommen wir irgendwann auf dieses Thema zurück [^14]: Art. 13 GDPR [^15]: Art. 7(3) GDPR.