Eine Datenschutzerklärung (DSE) ist auf einer Website unerlässlich ist. Doch welche inhaltlichen Bestandteile gehören in dieses wichtige Dokument? Die Datenschutz-Grundverordnung (DSGVO) und dasTelekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) legen klare Anforderungen fest, die eine DSE erfüllen muss.

Hier führen wir die essenziellen Bestandteile auf, die in einer Datenschutzerklärung nicht fehlen dürfen.

1. Angaben zum Verantwortlichen

Gleich zu Beginn muss klar ersichtlich sein, wer für die Datenverarbeitung auf der Website verantwortlich ist. Dies ist der sogenannte Verantwortliche im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO). Dazu gehören:

  • Name und Anschrift des Unternehmens oder der Person.
  • Kontaktdaten, insbesondere eine E-Mail-Adresse, unter der der Verantwortliche erreichbar ist. Gegebenenfalls auch eine Telefonnummer.

2. Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)

Wenn Ihr Unternehmen gesetzlich dazu verpflichtet ist, einen Datenschutzbeauftragten (DSB) zu benennen (z.B. bei mehr als 20 ständig mit der Datenverarbeitung beschäftigten Personen oder bei umfangreicher Verarbeitung sensibler Daten), müssen dessen Kontaktdaten ebenfalls in der DSE aufgeführt werden. Dies ermöglicht es betroffenen Personen, direkt mit dem DSB in Kontakt zu treten.

3. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Dies ist ein Kernstück der Datenschutzerklärung. Für jede Art der Datenverarbeitung auf Ihrer Website müssen Sie transparent darlegen:

  • Welche Daten (z.B. IP-Adressen, E-Mail-Adressen, Namen, Nutzungsdaten) erhoben werden.
  • Zu welchem spezifischen Zweck diese Daten verarbeitet werden (z.B. Bereitstellung der Website, Beantwortung von Kontaktanfragen, Bestellabwicklung, Newsletter-Versand, Webanalyse, Marketing).
  • Auf welcher Rechtsgrundlage die Verarbeitung erfolgt. Die häufigsten Rechtsgrundlagen sind: Einwilligung, Vertragserfüllung, berechtigtes Interesse und gesetzliche Verpflichtung.

4. Empfänger von Daten / Datenweitergabe

Sie müssen offenlegen, an wen Ihre Daten weitergegeben werden. Dies können sein:

  • Interne Stellen innerhalb Ihres Unternehmens.
  • Externe Dienstleister (Auftragsverarbeiter), die in Ihrem Auftrag Daten verarbeiten (z.B. Webhoster, Cloud-Anbieter, Newsletter-Dienstleister, Zahlungsdienstleister). Hier ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich.
  • Dritte, die eigenverantwortlich Daten verarbeiten (z.B. Social-Media-Plattformen bei der Nutzung von Plugins, Analyse-Diensten wie Google Analytics).

Besondere Aufmerksamkeit gilt der Datenübermittlung in Drittländer (außerhalb der EU/EWR). Wenn Daten in Länder ohne angemessenes Datenschutzniveau (z.B. die USA) übermittelt werden, müssen Sie die hierfür vorgesehenen Garantien nennen (z.B. Standardvertragsklauseln – SCCs, verbindliche unternehmensinterne Vorschriften – BCRs).

5. Speicherdauer der Daten

Transparenz über die Speicherdauer ist essenziell. Sie müssen angeben, wie lange die personenbezogenen Daten gespeichert werden bzw. die Kriterien für die Festlegung der Speicherdauer. Grundsätzlich gilt der Grundsatz der Datensparsamkeit und Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist oder gesetzliche Aufbewahrungsfristen (z.B. aus Steuer- oder Handelsrecht) dies vorschreiben.

6. Rechte der betroffenen Person

Die DSGVO stärkt die Rechte der Nutzer erheblich. Ihre Datenschutzerklärung muss klar und verständlich über folgende Rechte informieren:

  • Auskunftsrecht (Art. 15 DSGVO)
    Recht zu erfahren, welche Daten über Sie gespeichert sind.
  • Recht auf Berichtigung (Art. 16 DSGVO)
    Recht, unrichtige Daten korrigieren zu lassen.
  • Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
    Recht, die Löschung Ihrer Daten zu verlangen, wenn keine Notwendigkeit zur Speicherung mehr besteht.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    Recht, die Verarbeitung bestimmter Daten einzuschränken.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO)
    Recht, gegen bestimmte Verarbeitungen (insbesondere Direktmarketing oder Verarbeitungen aufgrund berechtigten Interesses) Widerspruch einzulegen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
    Wenn die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.
  • Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)
    Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.

7. Informationen zu Cookies und Tracking-Technologien

Gerade durch das TDDDG hat dieser Punkt noch an Bedeutung gewonnen. Ihre DSE muss detailliert Auskunft geben über:

  • Die Verwendung von Cookies und ähnlichen Technologien (z.B. Pixel, Local Storage).
  • Den Zweck der Cookies (z.B. technische Notwendigkeit, Analyse, Marketing).
  • Die Speicherdauer der Cookies.
  • Die Möglichkeit, Cookies zu deaktivieren oder abzulehnen (oft über ein Cookie-Consent-Tool).
  • Hinweise zu Drittanbieter-Cookies und deren Zwecke (z.B. Google Analytics, Facebook Pixel, YouTube).

8. Hinweise zu Social Media Plugins und Tools von Drittanbietern

Wenn Sie Social-Media-Plugins (z.B. Facebook Like-Button, Instagram Feed) oder andere externe Tools (z.B. Google Maps, reCAPTCHA, Online-Buchungssysteme) auf Ihrer Website einbinden, müssen Sie in Ihrer DSE darüber informieren. Erklären Sie, welche Daten dabei an die Drittanbieter übermittelt werden und wie der Nutzer den Datenaustausch steuern kann.

9. Sicherheit der Datenverarbeitung

Obwohl keine direkte Pflicht besteht, kann es ratsam sein, kurz auf die implementierten technisch-organisatorischen Maßnahmen (TOMs) hinzuweisen, die dem Schutz der verarbeiteten Daten dienen (z.B. SSL-Verschlüsselung, Zugriffskontrollen, Datensicherung). Dies stärkt das Vertrauen der Nutzer.

Fazit: Eine dynamische Anforderung

Die Erstellung einer umfassenden Datenschutzerklärung mag komplex erscheinen, ist aber für die Rechtssicherheit und die Vertrauenswürdigkeit Ihrer Website unerlässlich. Denken Sie daran: Die DSE ist kein einmaliges Projekt. Ihre Website und die eingesetzten Technologien können sich ändern, daher ist eine regelmäßige Überprüfung und Aktualisierung Ihrer Datenschutzerklärung unerlässlich.

Wenn Sie sicherstellen möchten, dass Ihre DSE alle diese Punkte abdeckt und stets aktuell ist, stehen wir Ihnen mit unserem Datenschutzerklärungs-Generator oder der individuellen Erstellung durch unsere Experten gerne zur Seite. Nutzen Sie unsere kostenlose Erstberatung, um mehr zu erfahren.

Philipp Herold

Über

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen