Der Weg zur DSGVO-konformen Datenschutzerklärung

Es ist Zeit für eine neue Datenschutzerklärung...

Werbung
Nicht vergessen: Denken Sie an die Aktualisierung der Datenschutzerklärung Ihrer Website !
Nicht vergessen: Denken Sie an die Aktualisierung der Datenschutzerklärung Ihrer Website !
☆ Dieser Artikel ist Teil unseres Special Datenschutz: Die DSGVO im Detail…

Mit Einführung der Datenschutz-Grundverordnung (DSGVO) müssen Website-Betreiber auch ihre Datenschutzerklärungen überarbeiten. Wir zeigen Ihnen, auf welche Punkte Sie dabei besonders achten sollten.

Die Datenschutzerklärung muss alle Informationen über die Verarbeitung personenbezogener Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form“ sowie „in einer klaren und einfachen Sprache“ bereitstellen (Auszug aus Artikel 12 DSGVO).

Äußere Gestaltung der Datenschutzerklärung

Was Layout und Ausführung der Datenschutzerklärung betrifft, so gibt es zumindest eine gute Nachricht: Sie ist an keine bestimmte Form gebunden.

Als Webdesigner haben Sie also relativ freie Hand, sollten sich jedoch an den gängigen Design-Richtlinien orientieren. Im folgenden geben wir Ihnen dazu einige Tipps mit auf den Weg.

Struktur (Gliederung, Überschriften)

Die DSGVO-konforme Datenschutzerklärung kann ziemlich umfangreich ausfallen – das macht sie schnell unübersichtlich. Eine sinnvolle Gliederung in thematisch geschlossene Abschnitte ist deshalb unbedingt erforderlich (z.B. in der Reihenfolge, wie sie Artikel 13 DSGVO nutzt).

Bestimmte Bereiche (z.B. Kontaktdaten des Datenschutzbeauftragten, Widerspruchsrecht) können farblich hervorgehoben werden, damit diese einfacher aufzufinden sind.

Ein Inhaltsverzeichnis wirkt vielleicht auf den ersten Blick etwas übertrieben, bringt jedoch Ordnung in jede noch so komplexe Datenschutzerklärung.

Typographie

Nutzt Ihre Website schwer lesbare Schmuckschriften, sollten Sie bei der Datenschutzerklärung eine Ausnahme machen und auf Klassiker wie Helvetica, Arial (sans-serif) bzw. Times New Roman (serif) setzen.

Desweiteren müssen alle Texte für den Leser gut erfassbar sein; das gilt insbesondere für Geräte mit kleinformatigen Bildschirmen wie Smartphones und Tablets:

Eine kontrastreiche Darstellung (weißer Hintergrund, schwarzer Text) erleichtert das Lesen ebenso wie eine angemessene Schriftgröße (mindestens 12 px; besser: Standardeinstellung des Webbrowsers).

Bilder und Symbole

Die DSGVO erlaubt explizit die Nutzung „standardisierter Bildsymbole“ (Art. 12 Abs. 7 DSGVO) zur Erklärung komplexer Zusammenhänge.

Aufgrund der Gefahr einer Fehlinterpretation durch eine nicht eindeutige Symbolik sollten Sie diesen Weg allerdings nur mit äußerster Vorsicht beschreiten.

Überhaupt ist es ratsam, auf das Einbinden von Grafiken und Bildern zu verzichten, vor allem, wenn diese allein der Optik dienen und keinen Mehrwert bieten.

Technik

Auch wenn die Textform nicht verpflichtend ist, Videos oder eine animierte Version der Datenschutzerklärung mögen zwar chic aussehen, stehen jedoch der Anforderung nach einer „leicht zugänglichen Form“ entgegen. Also: Keine technischen Spielereien.

Wenn Sie Ihren Nutzern etwas Gutes tun wollen, dann in Form einer Druckversion der Datenschutzerklärung (z.B. Download als PDF oder mit einem mittels CSS optimierten Layout für die Druckausgabe).

Zugänglichkeit

Was für das Impressum gilt, ist auch für die Datenschutzerklärung nur recht und billig:

Ein Link gehört ans Ende der Homepage und auf jede Seite. Denken Sie dabei an die Zwei-Klick-Regel (weiter als zwei Mausklicks sollte die Datenschutzerklärung nicht entfernt sein).

Inhalt der Datenschutzerklärung

Was in die Datenschutzerklärung gehört, listet Artikel 13 DSGVO detailliert auf:

  • Identität und Kontaktdaten des Betreibers bzw. Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (falls erforderlich)
  • Gründe (Zweck) der Verarbeitung personenbezogener Daten, einschließlich Nennung der Rechtsgrundlage
  • Berechtigte Interessen, die mit der Verarbeitung personenbezogener Daten verfolgt werden
  • Empfänger der erhobenen Daten (ggf. Übermittlung in Drittstaaten sowie das Vorhandensein oder Fehlens eines Datenschutzabkommens)
  • Dauer der Speicherung
  • Rechte der Betroffenen
    • Recht auf Auskunft (Art. 15 DSGVO)
    • Recht auf Berichtigung (Art. 16 DSGVO)
    • Recht auf Löschung (Art. 17 DSGVO)
    • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    • Recht auf Widerspruch (Art. 21 DSGVO)
    • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO, §19 BDSG)
  • Verpflichtung zur Bereitstellung personenbezogener Daten von Seiten des Betroffenen (z.B. gesetzlich vorgeschrieben oder vertraglich festgelegt); einschließlich Nennung der Folgen bei Nichtbereitstellung
  • Nutzung automatisierter Verfahren zur Entscheidungsfindung und Profiling (Art. 22 DSGVO)
  • Informationen zu geplanter Verarbeitung der personenbezogenen Daten zu einem anderen Zweck als dem der ursprüngliche Erhebung

Hier einige aus unserer Sicht besonders wichtige Punkte:

Für jede Datenverarbeitung muss die Rechtsgrundlage genannt werden. Wie in Vor-DSGVO-Zeiten gilt das sogenannte „Verbot mit Erlaubnisvorbehalt“:

Die Verarbeitung personenbezogener Daten ist grundsätzlich untersagt; ausgenommen, es existiert eine gesetzliche Grundlage oder der Benutzer hat explizit in die Nutzung seiner Daten eingewilligt.

Mit anderen Worten: Sie müssen in der Datenschutzerklärung jede Erhebung personenbezogener Daten einzeln aufführen und gemäß den Vorgaben aus Artikel 13 DSGVO konkret beschreiben.

Bei der Verarbeitung personenbezogener Daten dürfen Sie sich auch auf die „Wahrung berechtigter Interessen“ berufen (z.B. Speicherung der IP-Adresse in den Server-Logs zur Missbrauchsprävention).

Wichtig ist die Angabe zur Dauer der Speicherung personenbezogener Daten. Wobei hier für gewöhnlich der angedachte Nutzungszweck den Zeitrahmen vorgibt.

Großer Wert wurde vom Gesetzgeber auf die Informationspflichten gelegt. So müssen Sie den Nutzer über folgendes aufklären:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO, §19 BDSG)

Insbesondere die Information über das Widerspruchsrecht muss dabei in einer besonders hervorgehobenen Form erfolgen. Am besten packen Sie diesen Abschnitt in einen farbigen Textkasten.

Auch ein Hinweis auf die Beschwerdemöglichkeit bei einer zuständigen Aufsichtsbehörde gehört dazu; eine konkrete Nennung der Stelle scheint aber nach dem derzeitigen Stand nicht erforderlich zu sein.

Unterliegt Ihr Unternehmen der Pflicht, einen Datenschutzbeauftragten zu bestellen, so sind dessen Kontaktdaten (E-Mail-Adresse) ebenfalls in die Datenschutzerklärung mit aufzunehmen.

Textgenerator oder selbst schreiben ?

Im Internet finden sich eine Vielzahl von kostenpflichtigen und freien Textgeneratoren für die Erstellung einer DSGVO-konformen Datenschutzerklärung.

Wichtig bei der Nutzung derartiger Dienste ist jedoch, sich vorab selbst genau im Klaren darüber zu sein, welche personenbezogenen Daten tatsächlich auf der eigenen Website abgefragt und verarbeitet werden.

Mitunter lohnt sich auch ein Blick auf die Datenschutzerklärung anderer Websites mit ähnlich ausgestatteter Funktionalität. Aber Vorsicht:

Durch das simple Kopieren von Datenschutzerklärungen Dritter verletzen Sie zum einen das Urheberrecht, zum anderen könnten Sie auch deren Fehler kopieren, was ebenfalls nicht im Sinne des Erfinders ist.


Stand der Informationen: April 2018
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag !

Werbung