Eine Datenschutzerklärung für die eigene Website
Bei einer Datenschutzerklärung (engl. Privacy Policy) handelt es sich um eine schriftliche Darlegung aller Maßnahmen, die ein Unternehmen oder eine Organisation ergreift, um die Sicherheit und ordnungsgemäße Verwendung der Daten von Seitenbesuchenden zu gewährleisten, die im Rahmen des Geschäftskontakts erhoben wurden. Erfahren Sie, was eine Datenschutzerklärung ist und welche Angaben in der Datenschutzerklärung Ihrer Website notwendig sind.
- Profi-Website in Sekunden dank KI
- Aus tausenden Vorlagen auswählen
- 30 Tage kostenlos testen
Was sind die rechtlichen Grundlagen der Datenschutzerklärung?
Das deutsche Datenschutzrecht ist überaus komplex und setzt sich sowohl aus länder- als auch aus bundesspezifischen Regelungen zusammen. Betreibende von Websites und Onlineshops kommen mit der Bereitstellung einer Datenschutzerklärung vor allem ihrer Informationspflicht nach, die sich aus Art. 12–14 der DSGVO und § 25 des Telekommunikation-Digitale-Dienste-Datenschutzgesetzes (TDDDG) ergeben.
Die DSGVO
Am 25. Mai 2018 ist die Datenschutz-Grundverordnung der EU in Kraft getreten, die den Umgang mit personenbezogenen Daten innerhalb der EU einheitlich regelt. Die DSGVO gilt für alle Mitgliedsstaaten und steht vor den jeweils nationalen Gesetzgebungen. Mit sogenannten Öffnungsklauseln können die einzelnen EU-Staaten die DSGVO jedoch ergänzen.
Nach den Artikeln 13 und 14 der DSGVO ist jeder Anbieter, der personenbezogene Daten erhebt, verwendet oder weitergibt, dazu verpflichtet, Nutzenden zu Beginn des Nutzungsvorgangs über die Art und Weise, den Umfang und den Zweck der Datenerhebung zu informieren. Das bedeutet im Klartext, dass Dienstleistende ihre Userinnen und User sogar dann über die Datenerhebung informieren müssen, wenn z. B. nur Benutzername und E-Mail-Adresse gespeichert werden. Auch bei privaten Websites kann eine Informationspflicht bestehen, sofern die Verarbeitung nicht ausschließlich persönlich oder familiär erfolgt.
Das TDDDG
Das TTDSG (Telekommunikations-Telemediendatenschutz-Gesetz) trat am 1. Dezember 2021 als Ergänzung zur DSGVO in Kraft und wurde am 14. Mai 2024 umbenannt in das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutzgesetz). Das TDDDG und sein Vorgänger TTDSG sind inhaltlich identisch. Die Umbenennung erfolgte lediglich, um die Nähe der nationalen Gesetze zum passenden EU-Recht (DSA) zu verdeutlichen, welches die Bezeichnung „digitale Dienste“ statt „Telemedien“ verwendet.
Wann ist eine Datenschutzerklärung verpflichtend?
Grundsätzlich ist eine Datenschutzerklärung immer dann verpflichtend, wenn personenbezogene Daten verarbeitet werden. Da das Betreiben einer Website ohne Datenerhebung und -verarbeitung heutzutage praktisch nicht mehr möglich ist, sollte prinzipiell jede Website mit einer Datenschutzerklärung ausgestattet sein. So reduzieren Sie rechtliche Risiken und aufsichtsbehördliche Maßnahmen und bieten einen wichtigen Service für Ihre Userinnen und User.
Während die Rolle der Datenerhebung in Onlineshops leicht nachvollziehbar und die Notwendigkeit der Datenschutzerklärung selbsterklärend ist, unterschätzen viele Betreiberinnen und Betreiber anderer Websites den Umfang der automatischen Datenverarbeitung. Viele Daten werden automatisch gesammelt und oft auch ohne, dass es den Betreibenden bewusst ist: Bereits beim Seitenaufruf werden Daten verarbeitet, oft ohne bewusstes Zutun: Webserver speichern IP-Adressen in Logfiles, Social-Media-Buttons übermitteln Nutzungsdaten an Drittanbieter, und Cookies erfassen Informationen über das Surfverhalten.
Unklar war lange die Rechtslage, wenn es um die IP-Adressen der Benutzenden geht. Der Europäische Gerichtshof hat allerdings festgestellt, dass man über den Internetprovider sehr wohl eine Zuordnung zwischen IP-Adresse und den realen Personenangaben herstellen kann. Somit gelten IP-Adressen als personenbezogene Daten.
Eine teilweise Anonymisierung der IP-Adresse, etwa durch das Kürzen des letzten Zahlenblocks, kann den Personenbezug reduzieren. Sie ersetzt jedoch weder die Informationspflicht noch eine Datenschutzerklärung, sondern stellt lediglich eine ergänzende Schutzmaßnahme dar.
Besonders relevant sind zudem Website-Analysetools wie Google Analytics, die Nutzungsdaten von Websites systematisch auswerten. Nach Inkrafttreten des EU-US Data Privacy Framework (DPF) im Juli 2023 wurde der Transfer personenbezogener Daten zwischen der EU und den USA neu geregelt und ist unter bestimmten Voraussetzungen zulässig. Google gilt als DPF-zertifiziert, sodass Google Analytics bei korrekter Konfiguration (Einwilligung, Auftragsverarbeitung, IP-Anonymisierung) datenschutzkonform eingesetzt werden kann.
Welche Konsequenzen drohen bei einer fehlenden Datenschutzerklärung?
Ist eine Datenschutzerklärung fehlerhaft, gar nicht vorhanden oder wird sie den Nutzenden nicht rechtzeitig präsentiert, besteht gemäß § 28 des Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) eine Ordnungswidrigkeit, die mit einem Bußgeld in Höhe von bis zu 300.000 Euro geahndet werden kann. Zusätzlich gelten DSGVO-Bußgelder, die einen deutlich größeren Rahmen möglicher Bußgelder von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweit erzielten Jahresumsatzes vorsehen (Art. 83 Abs. 4 DSGVO).
Was ist bei der Einbindung der Datenschutzerklärung zu beachten?
Theoretisch sind Website-Betreibende dazu verpflichtet, ihre Userinnen und User zu Beginn des Nutzungsvorgangs über die Erhebung und den Schutz persönlicher Daten zu informieren. Praktisch gestaltet sich das bei einer Webpräsenz oft schwierig, sodass es ausreichend ist, diese Informationen zeitgleich mit der Erhebung zu präsentieren. Ähnlich wie das Impressum muss die Datenschutzerklärung unkompliziert und von jeder Seite aus abrufbar sein. Für die Erklärung sollte zu diesem Zweck eine eigene Unterseite angelegt werden, die jederzeit per Verlinkung erreichbar ist. Außerdem ist darauf zu achten, dass die hierfür gesetzten Links nicht durch andere Elemente wie Banner verdeckt werden und dass die Datenschutzerklärung in verschiedenen Browsern und auf allen Endgeräten (PC, Tablet, Smartphone etc.) sichtbar ist.
Zudem muss die Datenschutzerklärung wie die gesamte Website barrierefrei sein. Öffentliche Stellen sind bereits durch das BGG/BITV 2.0 dazu verpflichtet, ihre Webauftritte und ihre Datenschutzerklärung barrierefrei zu gestalten. Seit dem Inkrafttreten des Barrierefreiheitsstärkungsgesetzes (BFSG) im Juni 2025 sind nun die meisten digitalen Dienstleister dazu verpflichtet. Website-Betreibende müssen ihre Datenschutzerklärung leicht auffindbar platzieren und in klarer und einfacher Sprache formulieren.
Mit dem TDDDG rückt ein Sonderfall bei der Erhebung von Daten auf Websites in den Fokus: Cookies und nicht notwendige Endgerätezugriffe dürfen nur noch mit ausdrücklicher vorheriger Zustimmung gesetzt werden – außer, es handelt sich um technisch zwingend notwendige Cookies. Die Zustimmung geben Nutzerinnen und Nutzer über sogenannte Cookie-Consent-Banner, auf denen auch die Datenschutzerklärung unbedingt verlinkt werden sollte.
Ein weiterer wichtiger Aspekt ist, dass die Datenschutzerklärung präzise, transparent und verständlich formuliert sein soll. Juristische und technische Fachbegriffe gilt es, insofern möglich, zu vermeiden oder im Zweifelsfall zu erklären. Wenn sich Ihre Website gezielt an mehrere Sprachgruppen richtet, müssen Sie die Erklärung außerdem auch in den entsprechenden Sprachen verfassen. Sorgen Sie zudem für einen übersichtlichen Aufbau Ihrer Datenschutzerklärung und greifen Sie zu Gestaltungselementen wie Listen oder Tabellen, damit Nutzende die Inhalte schnell erfassen können.
Datenschutzerklärung: Muster für den Inhalt
Inhaltlich gilt es besonders auf die Richtigkeit und Vollständigkeit der Angaben zu achten. War es bis dato in einigen Punkten strittig, welche Informationen dabei auf keinen Fall fehlen dürfen, liefert Artikel 13 der DSGVO einen allgemeingültigen Katalog an Pflicht- und Zusatzinformationen, die in der Datenschutzerklärung Ihrer Website auf keinen Fall fehlen sollten. Im Folgenden geben wir Ihnen einige Muster für die Datenschutzerklärung Ihrer Website, an denen Sie sich orientieren können.
Kontaktdaten der Verantwortlichen bzw. der Vertretung
Es ist notwendig, die Kontaktdaten des Unternehmens bzw. der Verantwortlichen aufzuführen, die über die Verarbeitung von personenbezogenen Daten entscheiden. Zusätzlich zum Namen sind hierbei eine gültige Postanschrift und eine E-Mail-Adresse sowie ggf. eine Telefonnummer gefragt. Ist der Sitz des Unternehmens bzw. der Hauptverantwortlichen außerhalb der EU, müssen außerdem die Kontaktdaten der offiziellen Vertretung angegeben werden. Der entsprechende Absatz in Ihrer Datenschutzerklärung könnte in etwa folgendermaßen aussehen:
Muster für die Angabe der Kontaktdaten:
Der Verantwortliche / Die Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:
Name des Unternehmens / des Vertreters / der Vertreterin
Musterstraße 1 12345 Musterstadt
Deutschland Tel.: Telefonnummer
E-Mail: muster@e-mail.deKontaktdaten des / der Datenschutzbeauftragten
Wenn mindestens 20 Mitarbeitende regelmäßig mit automatisierter Datenverarbeitung beschäftigt sind oder die Kerntätigkeit Ihres Unternehmens in der geschäftsmäßigen Übermittlung von personenbezogenen Daten besteht, sind Sie dazu verpflichtet, eine oder einen Datenschutzbeauftragten zu ernennen. Gleiches gilt, wenn Sie besondere Kategorien von personenbezogenen Daten verarbeiten, die etwa über politische Meinungen, religiöse Überzeugungen oder ethnische Herkunft informieren. Haben Sie eine oder einen Datenschutzbeauftragten ernannt, ist es notwendig, auch die Kontaktdaten dieser Person in der Datenschutzerklärung anzugeben.
Muster für die Angabe der Kontaktdaten des Datenschutzbeauftragten:
Der Datenschutzbeauftragte / Die Datenschutzbeauftragte des Unternehmens ist:
Vorname Nachname
Musterunternehmen (bei externer Lösung)
Musterstraße 2
12345 Musterstadt Deutschland
Tel.: Telefonnummer
E-Mail: vorname.nachname@e-mail.deRechtsgrundlage für die Datenverarbeitung
Es ist Ihre Pflicht, die Nutzerinnen und Nutzer über die Rechtsgrundlage für die Erhebung und Verarbeitung der personenbezogenen Daten zu unterrichten. Damit diese gegeben ist, muss gemäß Artikel 6 der DSGVO mindestens eine der folgenden Bedingungen erfüllt sein:
- Die betroffene Person hat ihre Einwilligung gegeben.
- Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Aktionen erforderlich.
- Die oder der Verantwortliche kommt einer rechtlichen Verpflichtung nach, der sie oder er unterliegt.
- Die Verarbeitung dient dem Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person.
- Die Verarbeitung liegt im öffentlichen Interesse.
- Sie ist erforderlich, um berechtigte Interessen der oder des Verantwortlichen oder eines Dritten zu wahren (unter der Voraussetzung, dass Grundrechte und Grundfreiheiten der betroffenen Person nicht verletzt werden).
Muster für die Angabe der Rechtsgrundlagen:
Insofern wir für die Verarbeitung der personenbezogenen Daten eine Einwilligung der betroffenen Person eingeholt haben, gilt Artikel 6 Absatz 1 Unterabsatz 1a der DSGVO als rechtliche Grundlage.
Ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Maßnahmen erforderlich, die durch die betroffene Person veranlasst wurden, dient Artikel 6 Absatz 1 Unterabsatz 1b (DSGVO) als Rechtsgrundlage.
Ist die Datenverarbeitung das Resultat einer rechtlichen Verpflichtung, der wir unterliegen, berufen wir uns auf Artikel 6 Absatz 1 Unterabsatz 1c der DSGVO als rechtliche Basis.
Erfolgt die Verarbeitung personenbezogener Daten, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, dient Artikel 6 Absatz 1 Unterabsatz 1d (DSGVO) als Rechtsgrundlage.
Dient die Datenverarbeitung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, berufen wir uns auf Artikel 6 Absatz 1 Unterabsatz 1e der DSGVO.
Insofern die Verarbeitung personenbezogener Daten erforderlich ist, um berechtigte Interessen des Verantwortlichen oder eines Dritten zu wahren – ohne dabei die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person zu gefährden –, gilt Artikel 6 Absatz 1 Unterabsatz 1f (DSGVO) als Rechtsgrundlage.Zwecke der Datenverarbeitung
Zusätzlich zur rechtlichen Grundlage müssen Sie die Zwecke für die Verarbeitung der jeweiligen datenbezogenen Informationen in Ihrer Datenschutzerklärung aufführen. Dafür ist es im Zuge der Forderung nach Transparenz empfehlenswert, auch sämtliche Komponenten Ihres Webprojekts offenzulegen, die entsprechende Daten sammeln, z. B. folgende:
- Kontaktformulare
- Newsletter-Anmeldung
- Eingabefelder (z. B. zur Angabe von Bankdaten im Warenkorb)
- Tracking-Codes (z. B. Tracking Pixel)
- Drittanbieter-Plugins (z. B. Social-Plugins)
- Drittanbieter-Inhalte (z. B. YouTube-Videos)
- Gewinnspiele
- Cookies
Beim Einbetten fremder Inhalte gilt es künftig, noch mehr Vorsicht walten zu lassen: Die DSGVO verschärft die Notwendigkeit, die Nutzenden vor der Datenverarbeitung zu informieren. Viele Drittanbieter-Inhalte wie YouTube-Videos übermitteln Daten jedoch standardmäßig beim Aufruf der Website. Google hat bereits reagiert und den „erweiterten Datenschutzmodus“ in die Einbettungsoptionen von YouTube implementiert. Aktivieren Sie diesen, generieren Sie einen Einbettungscode, der Daten erst übermittelt, wenn das entsprechende Video angesehen wird.
Ist die Verarbeitung personenbezogener Daten aus berechtigten Interessen für Ihr Projekt von Relevanz (DSGVO Art. 6 Abs. 1 lit. f), sollten Sie an dieser Stelle auch Ihre berechtigten Interessen zu Papier bringen. Typische Zwecke sind beispielsweise die Analyse zur Optimierung der Website, zur Auslieferung personalisierter Inhalte oder für Marketingabsichten. Gleichzeitig sollten Sie aber in jedem Fall überprüfen, ob Sie die Interessen und Rechte der Nutzenden bestmöglich wahren.
Muster für die Angabe des Datenverarbeitungszwecks:
Um Ihren Besuch so benutzerfreundlich wie möglich zu gestalten und sämtliche verfügbaren Funktionen anbieten zu können, erheben wir eine Reihe von Daten und Informationen des Geräts, mit dem Sie unsere Website aufgerufen haben. Dabei handelt es sich um folgende Daten:
- IP-Adresse
- Betriebssystem
- Browsertyp und -version
- Datum und Uhrzeit des Zugriffs
- …
Eine Auswertung dieser Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.Namentliche Benennung von Empfängerinnen und Empfängern personenbezogener Daten
Wenn Sie personenbezogene Daten an Dritte weitergeben, müssen Sie Ihre Nutzerinnen und Nutzer innerhalb der Datenschutzerklärung darüber informieren. So beziehen Sie beispielsweise mit hoher Wahrscheinlichkeit Dienstleister in Ihren Geschäftsprozess mit ein, wie z. B. Zulieferer oder Bezahldienste, wenn Sie einen Onlineshop betreiben. Anzeigendienste wie Google AdSense oder Google Ads sowie Implementierungen von Drittanbieter-Cookies und -Erweiterungen, deren Nutzung immer an eine Weitergabe personenbezogener Informationen gebunden ist, zählen dazu. In diesen Fällen können Sie auf ein berechtigtes Interesse hinweisen, um die Nutzung zu rechtfertigen. Dennoch ist es ratsam, auch die Einwilligung der Besuchenden einzuholen.
Bei Social-Media-Buttons ist unbedingt die Nutzung eines datenschutzkonformen Verfahrens wie einer Zwei-Klick-Lösung oder dem Shariff-Button notwendig.
Muster für die Angabe eingebundener Drittanbieter (Beispiel „Facebook-Plugin“):
Diese Website verwendet ein Facebook-Social-Plugin, das von Meta Platforms, Inc. (1 Hacker Way, Menlo Park, CA, USA) entwickelt und betrieben wird und an dem Facebook-Logo erkennbar ist. Das Plug-in stellt eine direkte Verbindung zwischen Ihrem Browser und den Facebook-Servern her, sobald es aktiviert wurde. Hierfür ist ein Klick auf die entsprechende Schaltfläche erforderlich. Auf die Art und den Umfang der Daten, die in diesem Rahmen an Meta Platforms Inc. übermittelt werden, haben wir keinerlei Einfluss. Eine Äußerung des Social-Media-Unternehmens zu diesem Thema finden Sie unter folgendem Link: https://www.facebook.com/help/186325668085084.Haben Sie generell die Absicht, personenbezogene Daten an Empfängerinnen oder Empfänger in einem Drittland oder an eine international agierende Organisation weiterzuleiten, sollten Sie diese Absicht an dieser Stelle in Ihrer Datenschutzerklärung ebenfalls offenlegen.
Dauer der Datenspeicherung
Um die Datenverarbeitung möglichst fair und transparent zu gestalten, sollten Sie außerdem die Dauer, für die personenbezogene Daten gespeichert werden, offenlegen. Ist hierfür kein eindeutiger Wert formulierbar, können Sie stattdessen auch die Kriterien präsentieren, die den Zeitraum der Datenspeicherung beeinflussen. So können Sie in der Regel konkrete Angaben für die Speicherung von (anonymisierten) IP-Adressen in den Logfiles machen, wenn Sie dort beispielsweise eine automatische Löschung nach einer bestimmten Zeit konfiguriert haben. Arbeiten Sie hingegen mit Cookies, die Besuchende für den Zeitraum einer Sitzung identifizierbar machen, ist die Dauer der Datenspeicherung an die individuell ausfallende Sitzungsdauer gebunden.
Muster für die Angabe der Datenspeicherungsdauer:
Alle personenbezogenen Daten, die wir während Ihres Besuchs durch den Einsatz von Sitzungs-Cookies gesammelt haben, werden automatisch gelöscht, sobald der Zweck für ihre Erhebung erfüllt ist. Die Sitzungsdaten werden demnach so lange gespeichert, bis Sie Ihre Sitzung beenden (durch das Verlassen bzw. Schließen der Website).Speichern Sie die personenbezogenen Daten auf Servern außerhalb der EU, ist dies mit einem Hinweis auf mögliche Unterschiede der Datenschutzregelungen unbedingt in der Datenschutzerklärung Ihrer Website aufzuführen.
Hinweis auf Betroffenenrechte
Alle Nutzerinnen und Nutzer, von denen Sie personenbezogene Daten sammeln, haben eine Reihe von Rechten, die auch als Betroffenenrechte bezeichnet werden. So gewährt das Auskunftsrecht (Artikel 15 DSGVO) beispielsweise, ausführliche Informationen über Verarbeitungszwecke, mögliche Empfängerinnen und Empfänger, Speicherdauer und Herkunft einzuholen. Überdies haben Nutzerinnen und Nutzer u. a. das Recht auf Berichtigung (Artikel 16 DSGVO) und unter bestimmten Bedingungen auch das Recht auf Löschung (Artikel 17 DSGVO) personenbezogener Daten.
Muster für den Hinweis auf Betroffenenrechte:
Im Sinne der DSGVO zählen Sie als Betroffene oder Betroffener, wenn personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden. Aus diesem Grund können Sie von verschiedenen Betroffenenrechten Gebrauch machen, die in der Datenschutz-Grundverordnung verankert sind. Hierbei handelt es sich um das Auskunftsrecht (Artikel 15 DSGVO), das Recht auf Berichtigung (Artikel 16 DSGVO), das Recht auf Löschung (Artikel 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO), das Widerspruchsrecht (Artikel 21 DSGVO), das Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77 DSGVO) sowie das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO).Aufklärung über die Pflicht zur Datenerhebung
Insofern die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Abschluss eines Vertrags unabdingbar ist, müssen Sie Ihre Nutzerinnen und Nutzer darüber in Kenntnis setzen. Ferner ist es notwendig, dass Sie Angaben darüber machen, welche Folgen aus einer Nichtbereitstellung resultieren.
Muster für die Aufklärung über die Datenerhebungspflicht:
Die Erhebung Ihrer personenbezogenen Daten ist für den Abschluss eines Vertrags sowie zur Erfüllung vertraglicher Verpflichtungen und Serviceleistungen unabdingbar. Stellen Sie uns die angeforderten Informationen also nicht zur Verfügung, sind weder ein erfolgreicher Vertragsabschluss noch weiterführende Vertragsleistungen möglich.Unterrichtung über den Einsatz automatisierter Entscheidungsfindungen (inklusive Profiling)
Wenn Sie automatisierte Entscheidungsfindungen einschließlich Profiling einsetzen, sind Sie verpflichtet, Angaben über die Auswirkungen und die Tragweite darzulegen, die derartige Datenverarbeitungsprozesse auf die betroffene Person haben. Hintergrund ist, dass Ihre Nutzerinnen und Nutzer grundsätzlich das Recht haben, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden“ (Artikel 22 DSGVO). Dieses Recht gilt jedoch nicht, wenn das automatisierte Verfahren für den Vertragsabschluss bzw. die Vertragserfüllung erforderlich ist, aufgrund von Rechtsvorschriften der EU und deren Mitgliedstaaten zulässig ist oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Muster für den Hinweis auf eingesetzte(s) automatisierte Entscheidungsfindung bzw. Profiling:
Vor Abschluss Ihres Vertrags führen wir eine vollautomatisierte Bonitätsprüfung zur Ermittlung Ihrer Kreditwürdigkeit durch …
Neben klassischen Anwendungsfällen wie automatisierten Bonitätsprüfungen kommen heute zunehmend KI-basierte Profiling- und Entscheidungssysteme wie beispielsweise Verfahren zur automatisierten Bewertung von Nutzungsverhalten, zur Personalisierung von Inhalten oder zur Risikobewertung zum Einsatz. Auch bei Nutzung dieser Systeme, die auf Grundlage personenbezogener Daten automatisierte Entscheidungen treffen oder Nutzerinnen und Nutzer bestimmten Profilen zuordnen, sind Website-Betreibende verpflichtet, transparent über die Funktionsweise, Logik sowie die möglichen Auswirkungen dieser Verarbeitung zu informieren.Muster für den Hinweis auf eingesetzte(s) KI-basierte Profiling- und Entscheidungssysteme:
Zur Optimierung unserer Services setzen wir in bestimmten Bereichen automatisierte Analyse- und Entscheidungsverfahren ein, die auf statistischen Modellen oder KI-basierten Systemen beruhen. Diese Verfahren dienen beispielsweise der Personalisierung von Inhalten oder der Priorisierung von Anfragen. Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung findet dabei nicht statt.DSGVO: Die wichtigsten Punkte zur Datenschutz-Grundverordnung in der Zusammenfassung
Die Datenschutz-Grundverordnung macht den Datenschutz in EU-Ländern transparenter, verständlicher und sicherer. Die Notwendigkeit einer vollständigen, korrekt ausgeführten Datenschutzerklärung stellt dabei das Herzstück dar – insbesondere für Website-Betreibende, die es häufig mit einer riesigen Menge an verschiedensten, personenbezogenen Daten zu tun haben. Wenn Sie eine Datenschutzerklärung nach altem Muster verfasst haben, werden Ihnen bei den oben genannten Punkten insbesondere die Offenlegung der Rechtsgrundlage sowie die Hinweise auf die Benutzerrechte als größere Neuerungen ins Auge gefallen sein.
Natürlich sind diese beiden Aspekte bei Weitem nicht das Einzige, was die überarbeiteten bzw. neu generierten Datenschutzerklärungen nach DSGVO-Standard gegenüber älteren Modellen auszeichnet: Mehr denn je haben Sie als Verantwortlicher die Aufgabe, Sinn und Zweck der Datenverarbeitung zu erklären – und zwar in einer ausführlichen, leicht verständlichen und auch barrierefreien Form, die bei Nutzerinnen und Nutzern keine offenen Fragen zurücklässt. Für den Fall, dass dies doch vorkommt, müssen Sie bzw. die oder der Datenschutzbeauftragte Rede und Antwort stehen können. Die Unterrichtung der Nutzenden muss so früh wie möglich und immer vor der Datenerhebung geschehen.
Die einheitliche Verordnung macht es Gerichten zudem einfacher, Verstöße zu ahnden. Angesichts der drohenden Bußgelder sollten Sie bei der Erstellung der Datenschutzerklärung also unbedingt Sorgfalt walten lassen.
Unterstützung beim Datenschutz
Im Internet finden Sie zahlreiche kostenlose Angebote, die Sie dabei unterstützen, den Datenschutz für Ihre Website DSGVO- und TDDDG-konform zu gestalten. Einige davon stellen wir Ihnen hier vor.
- Abmahnsicheres Impressum und Datenschutzerklärung
- Kostenloser Update-Service für automatische Aktualisierungen
- Haftungsübernahme im Abmahnfall
Vorlagen und Generatoren für die Datenschutzerklärung
Es gibt vorgefertigte Muster für die allgemeine Erklärung zur Erhebung und zum Schutz der Nutzungsdaten sowie für spezielle Kategorien wie beispielsweise soziale Netzwerke, Cookies, Kontaktformulare oder den Newsletter-Versand. Sie erhalten auf diese Weise auch die Datenschutzerklärung für Google Analytics oder andere Tools für die Webanalyse in ausformulierter Form inklusive Links für alle Nutzenden, die nicht mit der Erfassung und Weitergabe ihrer Daten einverstanden sind. Zusätzlich zu diversen Vorlagen bieten einige Websites kostenfreie Datenschutzerklärung-Generatoren an, die benötigten Mustertexte zusammenfügen und in die endgültige Form bringen. Das Ergebnis liegt in der Regel als Text sowie als HTML-Code vor.
Vorlagen und Generatoren bieten eine gute Möglichkeit, die Datenschutzerklärung für die eigene Website zu verfassen. Dennoch sollten Sie nicht blind auf das Ergebnis vertrauen. Die Muster stellen zwar die Basis dar, müssen jedoch oftmals individuell verändert und ergänzt werden. Sollten Sie sich nicht sicher sein, ob Ihre Datenschutzerklärung vollständig und korrekt ist, empfiehlt sich in jedem Fall eine zusätzliche Rechtsberatung.
Website-Scanner
Website-Scanner und automatisierte Prüf-Tools unterstützen Website-Betreibende dabei, datenschutzrelevante Schwachstellen frühzeitig zu erkennen und ihre Website schrittweise datenschutzkonform auszurichten. Solche Tools analysieren unter anderem:
- welche Cookies gesetzt werden
- welche Drittanbieter eingebunden sind
- ob Tracking- und Analyse-Skripte aktiv sind
- ob datenschutzrelevante Informationen korrekt eingebunden und erreichbar sind
Je nach Tool werden auch Hinweise zur Einbindung von Cookie-Consent-Bannern, zur Platzierung der Datenschutzerklärung oder zu fehlenden Pflichtangaben ausgegeben. Für Website-Betreibende liegt der große Vorteil solcher Tools in der Zeitersparnis und der systematischen Herangehensweise. Statt einzelne Seiten manuell zu prüfen, erhalten sie eine strukturierte Übersicht über potenzielle Datenschutz-Risiken und konkrete Handlungsempfehlungen zur Optimierung.
Der Einsatz eines Website-Scanners selbst kann datenschutzrechtlich relevant sein. Verarbeiten die Tools beim Scan beispielsweise IP-Adressen, URL-Daten oder andere Informationen, die einen Personenbezug herstellen können, handelt es sich um eine eigene Form der Datenverarbeitung. In diesem Fall müssen die eingesetzten Scanner in der Datenschutzerklärung als Dienstleister oder eingesetzte Tools aufgeführt werden.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.