Datenschutzhinweise nach DSGVO
Informationen für Betroffene

Diese Anleitung stellt einen "Best Practice"-Ansatz dar. Sie zeigt, wie Sie selbst Datenschutzhinweise schreiben können. Die Hinweise und Links erheben weder den Anspruch auf Vollständigkeit noch auf Rechtssicherheit.

Dieser Artikel war ursprünglich eine Anleitung für Datenschutzhinweise für Besucher von Webseiten. Teilweise wurden Hinweise und Muster hinzugefügt, die sich auf Datenschutzhinweise für ALLE "nach außen" gerichteten Verarbeitungen beziehen. Außerdem nimmt der "Cookie"- bzw. "Einwilligungs-Banner"-Teil inzwischen sehr viel Raum ein. Insofern müsste dieser Artikel überarbeitet und in drei Teilartikel unterteilt werden…😕

Aktuelles

• Am 10.09.2020 beschloss der Bundestag ein weiteres Gesetz gegen Abmahnmissbrauch. Verstöße gegen Informations- und Kennzeichnungspflichten (wie die nach Art. 13 DSGVO) können zwar weiterhin abgemahnt werden können, für Mitbewerber besteht aber kein Anspruch auf Kostenerstattung mehr. Weitere Details z.B. in der heise-Meldung vom 11.09.2020.

Vorgehen

• Das Kochrezept steht in Art. 13 Absatz (1) und (2). Kurz zur Bedeutung der Fachbegriffe: "Verantwortliche Stelle" ist Ihre Organisation. Als deutsche Organisation haben Sie keinen "Vertreter" (in der EU). "Gegebenenfalls" bedeutet "weglassen, wenn etwas nicht zutrifft", z.B. wenn Sie aufgrund Ihrer Größe gar keinen DSB benennen müssen.
• In Formularen wird zu oft mit Einwilligung gearbeitet! Beispiel Kontaktformular: Der Besucher fragt, Sie antworten. Solange Sie nur die Frage beantworten (und den Betroffenen z.B. nicht auch automatisch in Werbe-Verteiler aufnehmen), führen Sie nur einen Auftrag aus. Hierfür brauchen Sie keine Einwilligung. Zweck nach Art. 13 (1) c) DSGVO ist dann die Beantwortung der Frage und damit die Erfüllung eines Vertrags gem. Art. 6 (1) b) DSGVO. Ergibt sich später eine Geschäftsbeziehung, so muss ggfs. dann über neue Zwecke informiert werden.
• Sie sollten die Kenntnisnahme der Datenschutzhinweise nicht bestätigen oder gar vom Betroffenen per Checkbox akzeptieren lassen. Denn dann könnten diese als Teil der AGB betrachtet werden, was Folgen bzgl. der Informationspflicht bei Änderungen der Datenschutzhinweise zur Folge hätte.
• Obwohl auch Newsletter-Anmeldung ein Auftrag erteilt wird, gelten bei Werbung weitere Anforderungen. Aber selbst für Newsletter brauchen Sie keine Einwilligung, solange Sie nur Werbung für sich selbst machen. Double-OptIn sollten Sie aber dennoch verwenden. Eine umfassende Darstellung der Fallunterscheidungen bei Werbung finden Sie im DSK-Kurzpapier 3.
• Finden Sie alle Stellen Ihrer Webseiten und Portale, an der sie mit dem Besucher interagieren. Informieren Sie direkt in jedem Formular (über dem "Senden"-Knopf) kurz und knapp darüber, was mit den Benutzereingaben gemacht wird. Beispiel für ein Kontaktformular: "Ihre Eingaben werden nur für die Bearbeitung Ihrer Anfrage verwendet. Wenn Sie ein Angebot anfordern, werden Ihre Kontaktdaten auch ins CRM übernommen. Weitere Informationen in unseren ▹Datenschutzhinweisen."
• Jeder Webserver schreibt auch ein Zugriffsprotokoll (Access-Log). IP-Adressen werden im Datenschutz als personenbezogene Daten gewertet. Auch darüber ist zu informieren. Fragen Sie Ihre Agentur und/oder Ihren Hoster, welche Protokolle für Ihre Webseite/Applikation geschrieben werden: Webserver, CMS, PlugIns, sonstige auf dem Server installierte Software. Und wann die Einträge dieser Protokolle gelöscht, anonymisiert oder aggregiert werden.
• Prüfen Sie mit der Entwicklerkonsole, uBlock Origin, Ghostery, Lightbeam oder Wappalyzer, welche Analytics-Tools auf Ihrem Webserver eingesetzt werden. Achten Sie bei Analyse darauf, dass Privacy-Protection im Browser, Blocker-AddOns und entsprechende Funtktionen Ihrer Antivirensoftware oder Firewall ausgeschaltet sind. Prüfen Sie Unterseiten, auf denen Karten, Videos oder sonstige Inhalte Dritter eingebettet sind. Lassen Sie diese Analyse von einem Fachmann durchführen.
• Fragen Sie sich, ob Sie sich auf Ihrer eigenen Webseite wohlfühlen würden. Lassen Sie ungenutzte und überflüssige Tools abschalten. Diese widersprechen den Vorgaben zur Datenminimierung und Technikgestaltung! Eine gute Einführung in die Welt des Tracking bietet die Dokumentation do not track. Sie können sich durch Verwendung datenschutzfreundlicher Browser und/oder AddOns bzw. dem Modus zum privaten Surfen ihres Browsers schützen.
• Die Datenschutzhinweise sollte genau so gut erreichbar sein wie das Impressum und darf nicht von einem Banner versteckt sein. Der Inhalt muss zwar den rechtlichen Anforderungen genügen, sollte aber wie der Rest Ihrer Webpräsenz formuliert sein - in der Sprache der Zielgruppe. Schreiben Sie also so wie wenn Sie jemand fragen würde. Ohne viel Einleitung, Klartext! Einfache Sätze. Weder juristisch noch technisch, sondern für Ihre typischen Besucher erklärt.

Lesenswertes

• Stephan Hansen-Oest empfiehlt, Datenschutzinformationen nicht als "Datenschutzerklärung" zu bezeichnen
  (und schon gar nicht z.B. mit mit einer Checkbox "akzeptieren" zu lassen), 13.11.2019
• Handlungsbedarf für Unternehmen: Die Datenschutzerklärung, iX Heft 1/2018, 05.01.2018
• Google Analytics ... rechtskonform ... einsetzen (DSGVO-Update, Cookies), oder Alternativen nutzen
• Matomo kann as SaaS oder selbst betrieben werden. Nicht immer müssen alle Forderungen umgesetzt werden.
• Eingebundene Schriftarten lokal ausliefern (soweit die Lizenz dies zulässt), z.B. Google Fonts in Wordpress
• Kurzpapiere der Datenschutzkonferenz zur DSGVO (etwas runterscrollen!), u.a. zu Werbung
• Redaktionelle Einstiegsartikel zur DSGVO von intersoft consulting, u.a. zur Einwilligung
• Online-Formular zur Beschwerde beim Landesbeauftragten für den Datenschutz Baden-Württemberg

Rechtsgrundlagen

• DSGVO Art. 12 Transparenz, leicht zugänglich, in einfacher Sprache
• DSGVO Art. 13 Informationspflicht bei Direkterhebung (nicht nur für Webseiten)
• DSGVO Art. 14 Informationspflicht, bei Erhebung durch Dritte
• UWG §7 Einwilligung bei Werbung: Muss sauber und nachweisbar sein!
• TMG §13 Pflichten des Diensteanbieters - Gilt evtl. nicht mehr?

Muster

• UNSER Leitfaden zur Erstellung gut lesbarer Datenschutzinformationen
• Erklärungen und Textbausteine, erarbeitet von einer Gruppe rund um Prof. Hoeren
• Muster für Kanzleien vom Deutschen Anwaltverein und der Bundessteuerberaterkammer
• DSGVO Muster Datenschutzerklärung 2018 von Maximilian Greger, SNP Schlawien, auf law-blog.de
• Datenschutzerklärung: Inhalt, Beispiel, Muster vom Berufsverband der Rechtsjournalisten e.V.

Beispiele

• Unsere eigene minimale Datenschutzerklärung: alle Verarbeitungstätigkeiten möglichst kurz dargestellt
• Datenschutzerklärung in "Du-Form" (für Sportler) - beachten Sie: Die App hat eine eigene Datenschutzerklärung
• Nach Firmenübernahme nicht mehr so kurze und ausreichende Datenschutzerklärung, englisch und deutsch
• Ausführliche Datenschutzerklärung der Stadt Emmendingen
• Typische Datenschutzerklärung der Gesellschaft für Datenschutz und Datensicherheit

Generatoren

In meinen Augen taugen generierte Datenschutzerklärungen nur als Inspiration dafür, welche Inhalte in der eigenen Datenschutzerklärung auftauchen sollten und wie man z.B. ein Social-PlugIn beschreiben könnte. Dies ist vergleichbar mit den Textbausteinen von Prof. Hoerens Arbeitsgruppe (s.o.). Die erzeugten Datenschutzerklärung entsprechen in keiner Weise dem sonstigen Stil ihrer Webseite und sind daher ein Fremdkörper. Auch schrecken sie in der Regel schon durch ihre Länge ab, wie man an den Mustern (erstellt mit DGD, Activemind) leicht sehen kann.

Inzwischen hat sich aber einiges (zum Besseren) getan. So ist etwa die Datenschutzerklärung von datenschutz-generator.de immer noch sehr lang, inhaltlich aber gut: Im Mittelteil wird nach Themenfeldern aufgegliedert, welche Daten in welcher Weise verarbeitet werden. Diesen Mittelteil müssen Sie selbst schreiben. Diese Webseite setzt das Borlabs-Plugin zur Information und Einwilligung ein – auch das ist technisch korrekt umgesetzt und die Detailbeschreibungen im Banner sind sehr gut.

• Rechtsanwaltskanzlei Dr. Thomas Schwenke, für privat und Kleinunternehmer kostenfrei
• activeMind AG Management- und Technologieberatung, kostenfrei
• Herold Unternehmensberatung GmbH, kostenfrei
• DGD Deutsche Gesellschaft für Datenschutz GmbH, kostenfrei
• eRecht24 GmbH & Co. KG, mit Monatsabo, für private Webseiten kostenfrei
• janolaw AG, mit Jahresabo

Lizenz

CC0. Sie dürfen diese Anleitung beliebig verändern und reproduzieren. Die Angabe der Quelle ist nett, aber nicht gefordert.
Wir freuen uns aber sehr über Anmerkungen und Verbesserungsvorschläge per (verschlüsselter?) E-Mail :-)

---