Apr. 245 Min.

Das musst du bei der Erstellung einer DSGVO-konformen Datenschutzerklärung für deine Website beachten

Aktualisiert: vor 7 Tagen

Wenn du deine eigene Website erstellen möchtest, gibt es neben dem Design und den Inhalten auch einige rechtliche Dinge zu beachten. Eine Anleitung zur Erstellung einer Homepage kann dir dabei helfen, diesen wichtigen Aspekt nicht zu übersehen.

Vor allem musst du als Betreiber:in einer Website an eine rechtskonforme Datenschutzerklärung denken. Wenn du keine Datenschutzerklärung auf der Website hast, drohen Abmahnungen und Geldstrafen. Zudem wirken Websites ohne Datenschutzerklärung für datenschutzsensible Websitebesucher:innen unseriös.

Aber was gehört eigentlich in eine rechtssichere Datenschutzerklärung? Diese Fragen beantwortet der Rechtsanwalt und Datenschutzexperte Lev Lexow in diesem Beitrag.

Am besten erstellst du deine Datenschutzerklärung, in dem du Rechtsexpert:innen oder Anwält:innen zurate ziehst oder einen Datenschutzerklärung-Generator (z.B von eRecht24) nutzen.

Wer ist im Internet zu einer DSGVO-konformen Datenschutzerklärung verpflichtet

Jeder, der eine Website hat und für den die DSGVO gilt, muss eine Datenschutzerklärung haben. Die DSGVO gilt für dich unter folgenden Bedingungen:   

  • Du bist in der EU ansässig und verarbeitest personenbezogene Daten. Das ist unabhängig von dem Ort, an dem die tatsächliche Verarbeitung der Daten stattfindet. Also auch dann, wenn du in der EU sitzt und nur Daten von US-Bürger:innen verarbeitest, gilt die DSGVO für dich.

  • Du bist außerhalb der EU ansässig und verarbeitest personenbezogene Daten von Personen aus der EU. Dies ist zum Beispiel dann der Fall, wenn du deine Produkte oder Dienstleistungen für EU-Bürger:innen anbietest.

 

Verarbeitet jede Website personenbezogene Daten?

Häufig sagen Betreiber:in einer Website: “Ich habe ja nur eine reine Präsentations-Website und noch nicht mal ein Kontaktformular. Meine Seite verarbeitet also gar keine personenbezogenen Daten, sodass ich keine Datenschutzerklärung brauche.” 

Das ist ein Trugschluss. Jede Website verarbeitet personenbezogene Daten und sei es nur die IP-Adresse oder Session-Cookies. Weitere Beispiele für personenbezogene Daten, die vor allem auf Websites verarbeitet werden, sind folgende Datenarten:

  • IP-Adressen von deinen Website-Besucher:innen; IP-Adressen sind notwendig, damit die Seite überhaupt aufgerufen werden kann.
     

  • Eingaben deiner Besucher:innen in Kontaktformulare.
     

  • Kommentare, die deine Besucher:innen auf der Website hinterlassen, zum Beispiel in Blogs oder Foren in ihrem Namen, E-Mail-Adressen oder andere persönliche Angaben 
     

  • Abonnements und/oder Newsletter, für die sich deine Kund:innen anmelden können.
     

  • Daten, die deine Analyse-Tools, wie Google Analytics erfassen
     

  • Social Media Plugins, die ebenfalls Daten deiner Websitebesucher:innen erfassen.
     

  • Online-Shops, in denen Besicher:innen deiner Website für jeden Kauf bestimmte Daten hinterlassen müssen.

Über diese Verarbeitungen muss in der Datenschutzerklärung informiert werden.

Was muss ich laut DSGVO auf meiner Website beachten?

Neben der Datenschutzerklärung selbst musst du prüfen, welche Daten deine Website verarbeitet und welche Tools eingesetzt werden. Bei zahlreichen Tools genügt es nämlich nicht, einfach nur eine Datenschutzerklärung zu erstellen. Du brauchst zusätzlich eine Einwilligung. Das ist beispielsweise bei dem häufig verwendeten Analyse-Tool Google Analytics der Fall. Dieses Tool darf ausschließlich mit Einwilligung eingesetzt werden. Ganz grundlegend sollten zumindest folgende Grundregeln beachtet werden:

  • Analyse- und Marketing-Tools wie Google Analytics, Hotjar oder Facebook Pixel (jetzt Meta Pixel) dürfen nur mit Einwilligung eingesetzt werden; hierzu kannst du gängige Consent Management Tools verwenden

  • Websites sollten stets verschlüsselt sein (SSL- bzw. TLS-Verschlüsselung)

  • Newsletter-Anmeldungen sollten ebenfalls mit einer Einwilligung versehen werden

  • Unter allen Kontaktformularen sollte auf die Datenschutzerklärung hingewiesen werden

Welche Daten müssen laut DSGVO in eine Datenschutzerklärung

In jeder Datenschutzerklärung müssen mindestens folgende Informationen enthalten sein:

  1. Name und Kontaktdaten des Websitebetreibers oder der Websitebetreiberin

  2. Kontaktdaten des/der Datenschutzbeauftragten (wenn man einen solchen bestellt hat)

  3. Zwecke der Datenverarbeitung, insbesondere die verwendeten Tools, Plugins und sonstigen Drittmodule (z.B. Social Media-Plugins, verwendetes Cookie-Banner etc.)

  4. Rechtsgrundlage der Datenverarbeitung

  5. Datenempfänger (z.B. Google Analytics, Mailchimp, dein Webhoster)

  6. Dauer der Verarbeitung / Löschfristen

  7. Belehrung über die Datenschutzrechte der Betroffenen

Da es schwierig bis unmöglich ist, eine solche Datenschutzerklärung ohne rechtliche Kenntnisse zu erstellen, sollte man sich entweder von einem Rechtsanwalt oder einer Rechtsanwältin beraten lassen oder einen gängigen Generator für Datenschutzerklärungen nutzen.

Was passiert bei Verstößen gegen die DSGVO im Internet?

Wenn du gegen die DSGVO verstößt, drohen hohe Strafen durch Datenschutzbehörden. Diese können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes fordern. Zudem kann man von Konkurrenten und Verbraucherverbänden abgemahnt werden - auch das kann teuer werden. 

DSGVO-Checkliste

Als Website-Betreiber:in trägst du die Verantwortung für die Daten deiner Kund:innen und Besucher:innen. Diese Punkte solltest du beachten, um die Daten deiner Nutzer:innen zu schützen:

Datenschutzerklärung aktuell halten:

Transparenz und Kommunikation mit deinen Website-Besucher:innen ist der Kernsatz der DSGVO. Eine Datenschutzerklärung beschreibt, wie eine Website die Daten ihrer Besucher:innen sammelt, nutzt, veröffentlicht, verwaltet und weitergibt. Um den Richtlinien der DSGVO zu entsprechen, musst du deiner Website eine solche Erklärung hinzufügen. Diese Datenschutzerklärung sollte immer aktuell und leicht auffindbar sein.

Verschlüssele deine Website:

Verschlüsselte Websites erkennst du daran, dass die URL mit https beginnt. Zusätzlich wird neben der URL meist ein kleines Schloss angezeigt sowie die Worte sicher, oder im Gegenfall unsicher angegeben. Ist dies nicht der Fall, kannst du SSL und HTTPS-Zertifikate integrieren, um deine Websites zu verschlüsseln. 

Hier erfährst du noch mehr zum Thema Sicherheit der Registrierungen und Nutzerinformationen bei Wix.

Cookies und Hinweis-Banner: 

Wenn du Technologien auf deiner Website hast, die einer Einwilligung bedürfen, musst du eine Einwilligung über ein gängiges Cookie-Consent-Banner einholen. Einer Einwilligung bedürfen sind in der Regel alle Tracking- und Marketing-Technologien, wie Google Analytics, Hotjar oder Facebook-Pixel.

Mit Wix kannst du ein Cookie-Banner auf deiner Website integrieren. Dieses poppt dann für Nutzer:innen beim Erstbesuch deiner Website auf und holt die Einwilligung zur Cookie-Verwendung ein. Stelle hierbei auf jeden Fall sicher, dass du auf sämtliche Arten von Cookies hinweist. Wir empfehlen dir, die juristische Textvorlage für deine Cookie-Richtlinie zu verwenden. In unserer DSGVO-Checkliste findest du weitere Tipps und Hinweise dazu, wie du ein Cookie-Hinweisbanner auf deiner Website von Wix erstellen und aktivieren kannst.

Passe die Formulare deiner Website an:

In den Formularen deiner Website darfst du nur solche personenbezogenen Daten erheben, die auch tatsächlich nötig sind, um die Kundenanfrage zu bearbeiten (Grundsatz der Datenminimierung). Stelle also sicher, dass du nur die notwendigen Daten als Pflichtfeld in deinem Formular markierst. So wissen deine Kund:innen, dass alle weiteren Angaben freiwillig sind.

 

Welche Daten erforderlich sind, hängt vom Formular ab. Wenn du einen Newsletter abonnieren oder in Foren kommentieren lässt, brauchst du dazu eigentlich nur die E-Mail-Adresse deiner Kund:innen, wohingegen du für Terminvereinbarungen möglicherweise auch eine Telefonnummer brauchst. Für Online-Käufe und Versand brauchst du neben der E-Mail-Adresse natürlich auch die Anschrift und Zahlungsinformationen.

 

Checke deine Drittanbieter: 

Newsletter sammeln persönliche Daten, nämlich E-Mail-Adressen. Wenn du deine Newsletter über Drittanbieter versendest, solltest du deren Datenschutzerklärungen genau ansehen, um deine Kund:innen darüber informieren zu können, wie ihre Daten verarbeitet werden. Zudem solltest du in der Datenschutzerklärung über den eingesetzten Newsletter-Diensteanbieter informieren.

Tipp: Den Link zu deiner Datenschutzerklärung solltest du auf jeden Fall mit in dein Anmeldeformular für den Newsletter einbauen. Zudem musst du in deinem Newsletter-Anmeldeformular darauf hinweisen, dass der Newsletter jederzeit wieder abbestellbar ist.

Auch Social-Media-Plugins, also Links oder eingebettete Video-Dateien sammeln die Daten deiner Nutzer:innen. Stelle also sicher, dass du entweder alle Plugins entfernst oder die Plugins erst nach Einwilligung der Website-Besucher:innen aktiv werden.

Wenn du Analysetools, wie Google Analytics auf deiner Seite integriert hast, werden auch hier Daten gesammelt, in diesem Fall IP-Adressen, Cookies und Daten zum Nutzerverhalten. Auch hierauf musst du in deiner Datenschutzerklärung hinweisen und gegebenenfalls weitere Vorsorgen treffen.

Auch wenn du Chatbots einsetzt, solltest du darüber informieren. Zudem sollten die Chatbots erst dann aktiviert werden, wenn der/die User:in hierin eingewilligt hat. Dies kann über das Consent Tool oder direkt über die Chatbot-Maske erfolgen. 

Weitere Informationen zum Thema Datenschutz und über die Daten deiner Kund:innen findest du in unserem Hilfe-Center. Dort kannst du auch mehr darüber lesen, wie du die Daten deiner Kund:innen löschen kannst.

Häufig gestellte Fragen zum Thema DSGVO und Datenschutzerklärung im Internet

Weitere spannende Artikel:

Lev Lexow - Rechtsanwalt und Datenschutzexperte bei Siebert Lexow Lang