(0341) 65 67 99 80 | kontakt@kewinkler.de
DE | EN

Artikel-Übersicht

Die Datenschutzerklärung für Webseiten in 2020

Dieser Praxisleitfaden unterstützt Sie bei der Erstellung der Datenschutzerklärung für Ihre Webseite nach den Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Anhand dieser Hinweise können Sie leicht prüfen, ob Sie in Ihrer Datenschutzerklärung alle erforderlichen Angaben aufgenommen haben.

Stand: September 2020 - Veröffentlicht auf Markt & Recht

Einleitung

Wenn Sie möchten, können Sie Ihre Internet-Datenschutzerklärung mit ein paar Hinweisen einleiten. Aus juristischer Sicht ist dies nicht nötig und häufig finden sich unnötige Floskeln, die nur die Gesetzeslage wiedergeben. Jeder darf personenbezogene Daten lediglich soweit und solange verarbeiten, wie es nötig ist. Sparen können Sie sich auch allgemeine Definitionen, zum Beispiel was personenbezogene Daten sind. Sie müssen die Daten, die Sie verarbeiten, genau benennen. Dass diese zumindest potenziell personenbezogen sind, ergibt sich aus ihrer Erwähnung.

Wer braucht eine Datenschutzerklärung?

In der Regel benötigen alle Webseiten eine Datenschutzerklärung. Davon ausgenommen sind Webseiten, die keine personenbezogenen Daten ihrer Nutzer speichern und keine Cookies oder ähnliche Tracking-Techniken einsetzen. Normalerweise trifft dies allenfalls auf kleine private Seiten oder sogenannte Visitenkarten zu.

Bedenken Sie, dass schon die Speicherung der vollständigen IP-Adresse eine Verarbeitung personenbezogener Daten darstellt. In der Regel speichert der Server die IP-Adresse in einem Logfile. Manche Provider ermöglichen es, die IP-Adresse für die Protokollierung wegzulassen oder so zu kürzen, dass nur der Internetanbieter des Nutzers erkennbar ist. Der Teil der IP-Adresse ist dann nicht mehr personenbezogen, weil er keinen Rückschluss mehr auf eine Person zulässt.

Wenn Sie Web-Applikationen oder Angebote von Internetdiensten einbinden, achten Sie darauf, ob diese Daten Ihrer Besucher verarbeiten. Zum Beispiel setzen Dienste für Webanalysen wie „Google Analytics“ Cookies auf den Geräten der Nutzer. Gleiches geschieht beim Einbinden von JavaScript-Code, Stylesheets oder Fonts, die auf externen Cloud-Diensten liegen (Content Delivery Network, CDN). Auch beim Einbinden von Videos, Kommentar-Anwendungen, Like-Buttons oder ähnlichem können personenbezogene Daten verarbeitet werden, was in der Datenschutzerklärung beschrieben werden muss.

Nach der Rechtsprechung des Europäischen Gerichtshofs sind Webseiten-Betreiber für die Verarbeitung der Daten durch eingebettete Funktionen, wie etwas Social-Media-Plugins, im Sinne des Datenschutzrechts mit verantwortlich (EuGH, Urteil vom 29.7.2019, C-40/17 – Fashion ID).

Immer wenn Sie in Ihrem HTML bzw. CSS einen Code mit einem folgender Muster einsetzen, haben Sie potenziell ein Datenschutzproblem:

<link rel="stylesheet" href="https://<externe domain>" ... >

@import url('https://<externe domain>')

<iframe src="https://<externe domain>">...</iframe>

<script src="<externe domain>.js">

<script> ... 'https://<externe domain>' ... </script>

Das Problem ist vor allem, dass die <externe domain> häufig auf einen Dienst verweist, der Server in den USA betreibt (Google, YouTube, Facebook, Twitter, Disqus). Nach der jüngsten Rechtsprechung des EuGH ist das europäische Datenschutzniveau in den Vereinigten Staaten nicht gewährleistet (EuGH, Urteil vom 16.7.2020, C-311/18 – Facebook/Schrems). Die beste Datenschutzerklärung kann folglich die Einbindung dieser Dienste nicht rechtmäßig machen.

Wenn Sie eine passive Seite haben, auf der Nutzer keine Daten hinterlassen können, die keine Cookies verwendet, die IP-Adresse nicht aufgezeichnet wird und keine Drittanbieter-Dienste einbindet, können Sie auf eine Datenschutzerklärung verzichten (Sie könnten darin auch nur erklären, dass keine Daten verarbeitet werden).

Allerdings gehört eine Datenschutzerklärung heute zum Standard, so dass Nutzer ihre Seite als unseriös einstufen können, wenn sie keine vorfinden. Zudem kann die Angabe einer E-Mail-Adresse auf Ihrer Webseite eine Datenschutzerklärung notwendig machen, insbesondere wenn Sie einen eigenen E-Mail-Server verwalten.

Weiter lesen…