Datenschutzerklärung für eine simple Geschäftswebseite

Was gilt es bei einer Datenschutzerklärung zu beachten?

Für die allermeisten Unternehmen gehört ein eigener Webauftritt zur Grundausstattung. Das neue europäische Datenschutzrecht macht auch vor diesen einfachen Webseiten keinen Halt. Eine Anpassung der Datenschutzerklärung ist meist auch hier notwendig.

Es wird hier nachfolgend nur auf die Aspekte einer simplen Webseite eingegangen. Darunter ist ein Webauftritt zu verstehen, welchen das Unternehmen beschreibt, Inhalte in Text und Bild zur Verfügung stellt, ein Kontaktformular und eine Anmeldungsmöglichkeit für einen Newsletter beinhaltet und allenfalls Social Plugins oder Analyse Tools verwendet. Komplexere Webseiten mit bspw. e-Commerce Funktionen oder einzelnen Nutzerprofilen sind durch diesen Beitrag nicht abgedeckt. Ausserdem wird nicht auf länderspezifische Besonderheiten eingegangen.

Transparente Information

In der neuen Datenschutzgrundverordnung (DSGVO/GDPR) wird das Transparenzgebot gross geschrieben, die betroffene Personen müssen über die vorgenommenen Datenbearbeitungen umfassend aufgeklärt werden. Die Information hat in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen.

Die Informationspflichten werden in Artikel 13 und 14 DSGVO im Detail dargelegt. Zusammengefasst muss die Datenschutzerklärung folgende Informationen enthalten:

  • Den Namen und die Kontaktdaten des Unternehmens sowie die Kontaktdaten des Datenschutzbeauftragten (sofern einer bestimmt ist)
  • Die verschiedenen Zwecke sowie die Rechtsgrundlage für die jeweilige Datenverarbeitung
  • Datenverarbeitungen gestützt auf das berechtigte Interesse des Unternehmens (ohne Zustimmung der betroffenen Person)
  • Die einzelnen Kategorien der verarbeiteten Personendaten
  • Information zum Transfer in ein Drittland
  • Rechte der betroffenen Person inkl. Widerrufsrechte
  • Aufbewahrungsdauer
  • Informationen zur automatisierten Entscheidungsfindung
  • Beschwerdemöglichkeiten bei der Aufsichtsbehörde

Was ist der Zweck und die Rechtsgrundlage für die Bearbeitung?

In der Datenschutzerklärung muss den Besuchern der Webseite erklärt werden, zu welchen Zwecken Personendaten erfasst werden. Die gleichen Daten können zwar für verschiedene Zwecke genutzt werden, es ist jedoch jeder Zweck einzeln zu erläutern. Für jede Datenverarbeitung braucht es eine Rechtsgrundlage. Die DSGVO führt in Art. 6 sechs verschiedene Arten einer rechtmässigen Datenverarbeitung auf, wobei in Bezug auf Webseiten die folgenden drei Rechtfertigungsgründe im Forderung stehen:

  • Einwilligung (Bsp. Newsletter – Anmeldung)
  • Berechtigtes Interesse des Unternehmens oder eines Dritten (Bsp. Aufruf der Webseite)
  • Zur Abwicklung vertraglicher Verpflichtungen (Bsp. Erfassung der Lieferadresse im Bestellformular)

In einem ersten Schritt muss daher eruiert werden, welche Personendaten die Webseite überhaupt erfasst und gestützt auf diese Abklärung, lassen sich die einzelnen Verarbeitungen rechtlich einordnen und anschliessend in der Datenschutzerklärung erläutern.

Aus Transparenzgründen ist jede Verarbeitung in der Datenschutzerklärung einzelnen zu erläutern und der entsprechende Rechtfertigungsgrund ist zu nennen.

Auf was gilt es bei dem Einsatz von Newslettern zu beachten?

Die Anmeldung für den Newsletter muss rechtskonform in die Webseite implementiert sein. In den allermeisten Fällen wird dafür ein Double – Opt – in – Verfahren notwendig sein. Weitere Informationen zum Einsatz von Newslettern findet sich in einem früheren Beitrag, hier.

Die Datenschutzerklärung sollte darüber Auskunft geben, welche Daten im Rahmen des Newsletterversandes erfasst werden und zu welchen Marketing – Zwecken die Daten verwendet werden. Des Weiteren ist zu erläutern, wie die betroffene Person ihre Einwilligung widerrufen kann, bzw. sich vom Newsletter abmelden kann.

Die meisten KMU nutzen für den Newsletterversand einen Drittanbieter, es gilt zu prüfen, ob dieser die neuen Datenschutzanforderungen ebenfalls erfüllt.

Was gilt es bei Webanalyse – Tools zu beachten?

Es gilt zu prüfen welche Webanalyse – Tools eingesetzt werden. Die betroffenen Personen sind darüber aufzuklären, welche Daten durch die Tools erfasst werden und ob Cookies gesetzt werden. Sofern ein Drittanbieter genutzt wird, ist dieser zu nennen und es sollte auf die entsprechenden Informationen des Drittanbieters verlinkt werden.

Es sollte nach Möglichkeit ein Webanalyse – Tool genutzt werden, welches die Daten anonymisiert erfasst.

Muss auf die Verwendung von Social Plugins hingewiesen werden?

Die Verwendung von Social Plugins geben schon lange Anlass zu Diskussionen, da die sozialen Netzwerke Besucher im Internet verfolgen können und dadurch detaillierte Profile kreieren. Um ihre Inhalte zu verbreiten, können Social Plugins für ein Unternehmen jedoch ein wichtiges Marketingtool darstellen. Diese werden daher auf vielen Webseiten verwendet.

Als rechtssichere Lösung galt bis anhin die „Zwei-Klick-Lösung“. Diese Lösung wird auch in Zukunft möglich sein, wobei der Nachweis der Einwilligung Probleme darstellen könnte. Eine Alternative Lösung stellt die Shariff – Lösung dar, bei dieser Lösung bleibt der Nutzer unsichtbar solange er nicht auf den Button/Link klickt. Für diese Lösung findet sich auf Github ein gutes Script zur Umsetzung.

Die Datenschutzerklärung ist entsprechend der gewählten Lösung zu formulieren und es sind auf die entsprechenden Informationen und Datenschutzbestimmung der sozialen Netzwerke zu verlinken. Verschiedene Musterklauseln finden sich hier.

Der Einsatz von Cookies wird in diesem Artikel nicht genauer erläutert. Eine rechtskonforme Einwilligung und eine Erklärung wie diese eingesetzt werden, sind in der Datenschutzerklärung aber immer zu berücksichtigen.

Wann ist eine Datenschutzerklärung leicht zugänglich?

Die DSGVO verlangt, dass die Datenschutzerklärung leicht zugänglich und die betroffene Person über die Datenverarbeitung informiert wird. Ein Hinweis wie man es von Cookies kennt, wird wohl bei einer einfachen Webseite weiterhin nicht notwendig sein. Es sollte ausreichen, wenn die Datenschutzerklärung auf der Webseite einfach auffindbar ist. Die Datenschutzerklärung darf daher nicht in den AGB versteckt werden und auch nicht als Ergänzung im Impressum. Die Datenschutzerklärung muss unter einem eigenen Titel geführt werden.

Die Datenschutzerklärung muss zudem übersichtlich gestaltet sein und sollte in einer verständlichen Sprache verfasst sein. Die Datenschutzerklärung als «kleingedruckter Text» ist nicht mehr zulässig. Es sollte mit Titeln und Untertitel gearbeitet werden. Die Datenschutzerklärung kann mit verschiedenen Ebenen gestaltet werden, bspw. kann auf der oberen Ebene eine Zusammenfassung gegeben werden und ein Link kann auf Detailinformationen in einer unteren Ebene verweisen. Bei dieser Methode ist jedoch Vorsicht geboten, es dürfen keine wesentlichen Informationen auf unteren Ebenen versteckt werden. Die betroffene Person sollte zusätzlich eine Gesamtübersicht abrufen können, bspw. als PDF.

Falls Personen in verschiedenen EU – Länder angesprochen werden, muss eine Übersetzung vorliegen.

Wie kann eine Datenschutzerklärung gegliedert werden?

  • Wer ist für den Datenschutz verantwortlich?
  • Was verstehen wir unter Datenverarbeitung?
  • Warum erfassen wir Ihre Daten?
  • Zu welchen Zwecken bearbeiten wir Ihre Daten? (hier ist jeder Zweck einzeln zu beschreiben)
    • Beschreibung der Datenverarbeitung
    • Zweck der Datenverarbeitung
    • Rechtsgrundlage
    • Dauer der Speicherung
  • Sind Ihre Personendaten bei uns sicher?
  • Werden Cookies verwendet?
  • Werden Webanalyse – Tools verwendet?
  • Werden Social-Plugins verwendet?
  • Welche Rechte haben Sie als betroffene Person?
    • Auskunftsrecht
    • Recht auf Berichtigung
    • Recht auf Einschränkung der Verarbeitung
    • Recht auf Löschung der Daten
    • Recht auf Datenübertragbarkeit
    • Recht auf Widerspruch
  • Kann ich meine Einwilligung widerrufen?
  • An wen können Sie sich bei Fragen zum Datenschutz wenden?
  • Gibt es ein Beschwerderecht bei der Aufsichtsbehörde?
  • Wie kann diese Datenschutzerklärung angepasst werden?

Weitere Informationen

Yves Gogniat hat an der Universität St. Gallen Rechtswissenschaften studiert und danach das Anwaltspatent erworben. Danach hat er in einer Boutique-Kanzlei gearbeitet, welche sich vor allem auf das IT- Recht und Datenschutz konzentriert. Zudem war er als Dozent für IT- und IP-Recht an der ZHAW tätigt. Yves Gogniat konnte dabei seine Leidenschaft für Technologie ausleben und sein Profil in diesen Gebieten schärfen. Seit dem Sommer 2017 ist er als selbständiger Rechtsanwalt bei GoLaw tätig. Yves Gogniat erbringt vor allem Rechtsdienstleistungen in Fragen des Technologie- und Vertragsrechts.

Die Kommentarfunktion ist geschlossen.