Datenschutzerklärung für die eigene Homepage

Zuletzt aktualisiert am 31. März 2021 von Lars

Jede noch so kleine Homepage braucht dank DSGVO (Datenschutz-Grundverordnung) mittlerweile eine Datenschutzerklärung. Bereits früher habe ich mich hier schon mal damit beschäftigt, zum Beispiel hier. Da ich gerade eine weitere Website übernehmen werde, habe ich mich nochmal ausführlich mit dem Thema beschäftigt.

Achtung! Ich bin kein Anwalt. Dies ist keine Rechtsberatung. Möglicherweise habe ich einen wichtigen Schritt übersehen, nimm daher den Artikel höchstens als Empfehlung. Wie immer gilt: Alle Informationen ohne Haftung!

Bestseller Nr. 1

Erster Schritt: Erst einmal Verständnis über das Thema erlangen

Du musst dich mit der Thematik Datenschutz auseinandersetzen.

Datenschutzerklärung für die eigene Homepage

Ein erster Schritt ist: Einlesen. Einen guten Ausgangspunkt dazu bietet der Artikel Datenschutzerklärung für Website, Blog und Co.: Anforderungen und Hinweise auf datenschutz.org.

Grundsätzlich braucht jede noch so kleine Website eine Datenschutzerklärung. Eine Unterlassung kann in Deutschland zu Abmahnungen führen. Auf "wird schon nichts passieren…" würde ich mich nicht verlassen, denn ich stelle regelmässig erstaunlich viele Besucher auf der Datenschutzerklärung meiner Websites fest.

Jede Website braucht eine Datenschutzerklärung!

Die Datenschutzerklärung soll Betroffene über die Verwendung von personenbezogenen Daten informieren.

Ich verarbeite doch gar keine personenbezogenen Daten!

Jetzt könnte man auf die Idee kommen, dass man einfach nirgendwo Name, E-Mail oder sonstige Daten erfasst und damit alles gut wäre. Nein. Bereits die IP des Besuchers stellt ein personenbezogenes Datum dar, weil sich im Zweifel über diese die Person feststellen lässt. Und diese wird bei deinem Webhosting auch noch in den Log-Dateien erfasst.

Zudem bedeutet die obligatorische Nennung der Kontakt-E-Mail-Adresse automatisch auch die mögliche Erfassung von personenbezogenen Daten. Denn wenn ein Besucher ein E-Mail sendet, ist dir auch seine Absender-E-Mail-Adresse bekannt.

An alles denken!

Du musst die Funktionen deiner Website sehr genau kennen. Wichtig für die Datenschutzerklärung sind unter anderem…
Formulare und andere Kontaktmöglichkeiten
Kommentare
Social Media (Facebook, YouTube, Twitter, …
Dienste zur Analyse der Websitebesucher
Externe Daten wie Avatare, Smileys, Programmbibliotheken, Schriftarten…
Newsletter
Plugins, die die Daten extern senden
Log-Dateien bei deninem Webhosting
SSL / TLS – Werbung
Affiliate
Eingebundene Zahlungsanbieter
Cookies

Das Problem ist: Du musst an alle "Ecken" und "Enden" deiner Homepage denken, und prüfen, wo Daten verarbeitet werden oder womöglich sogar extern gehen.

Einige gängige Beispiele:

Formulare und andere Kontaktmöglichkeiten

Die meisten Blogs haben auch mindestens ein Kontaktformular und Kommentarmöglichkeiten. Hier werden Daten verarbeitet und das gilt es in der Datenschutzerklärung zu beachten. Das gleiche gilt für die Kommentarfunktion.

Social Media

Besucher haben in der Regel die Möglichkeit, Beiträge auf Social Media zu teilen. Dazu werden direkt Daten von der Social Media Plattform eingebunden, wodurch die IP des Besuchers zu einem externen Anbieter abfliesst.

Zwar gibt es Tools, die die Daten erst beim ersten Klick auf den "Teilen"-Knopf weiterleiten, wie zum Beispiel das WordPress-Plugin "Shariff Wrapper", doch trotzdem müssen entsprechende Hinweise in die Datenschutzerklärung.

Wenn deine Datenschutzerklärung auch für eventuelle Social-Media-Präsenzen (zum Beispiel Facebook-Seite) gelten soll, ist das ebenfalls zu erwähnen.

Eingebundene YouTube-Videos

Durch das direkte Einbinden von YouTube-Videos wird die IP zum Anbieter übertragen, ohne dass dieser das will. Hier kann man Tools einbinden, wie zum Beispiel das WordPress-Plugin "WP YouTube Lyte", mit dessen Hilfe erst nach dem ersten Klick auf das Video die Daten übertragen werden. Trotzdem muss auch mit dieser Lösung YouTube Lyte in die Datenschutzerklärung.

Dienste zur Analyse der Websitebesucher

In der Regel willst du als Websitebesitzer wissen, wie viele Besucher deine Website hat und welche deiner Seiten am häufigsten besucht werden. Du nutzt dazu ein Analyse-Tool, wie zum Beispiel Google Analytics. Doch auch hier gibst du die IP extern weiter. Also muss auch das in der Datenschutzerklärung Beachtung finden.

Newsletter-Angebot

Schreibst du deine Kunden per Newsletter an, dann werden hier persönliche Daten erfasst. Wenn du zum Versand einen externen Anbieter nutzt, wie zum Beispiel MailPoet, dann gehen diese Daten sogar zu dritten.

Apropos Newsletter. Hier kannst du nicht einfach an Newsletter versenden. Jeder Empfänger muss mittels Double Opt-In dem Versand zugestimmt haben

…und…und…und…

Die Liste ist nicht abschliessend. Du musst die Funktionen deiner Website genau kennen, damit du weisst, was in die Datenschutzerklärung muss. Das ist nicht immer einfach. Gerade bei der Verwendung von WordPress ist schnell ein Plugin installiert. Viel schwerer ist es in der Regel zu verstehen, was im Hintergrund genau passiert. Fliessen gar Daten extern ab? Und falls ja, ist dort ein ordentlicher Datenschutz gewährleistet.

Flucht ins Ausland?

Jetzt könnte man auf die Idee kommen, einfach mit der Website auszuwandern. Das macht jedoch nur Sinn, wenn die für die Website verantwortliche Person, also die, die im Impressum steht, auch dort zu Hause ist. Einfach einen Webhost in Amerika mieten reicht nicht aus, wenn sich deine Seite primär an europäische Nutzer richtet ausrichtet. Es könnte sogar fatal sein, das das Datenschutzniveau dort nicht mehr als ausreichend gilt.

Ich selbst wohne in der Schweiz und daher ist hier tatsächlich etwas anderes. Aber auch die Schweiz hat strenge Datenschutzregeln und da sich mein Angebot an alle deutschsprachige Benutzer richtet, muss ich Teile der DSGVO in der Datenschutzerklärung übernehmen.

Cookies und Datenschutzerklärung

Ganz ohne Cookie-Banner geht es nicht!

Das Thema Cookie muss in jedem Fall in die Datenschutzerklärung. Aber wie ist es mit den ominösen Cookie-Bannern, die doch eigentlich nur nerven? Hier wird es kompliziert. So kompliziert, dass ich hier auf externe Quellen verweise…

Aussage zu Cookie-Banner für den Bereich der DSGVO

Cookie-Banner und Einwilligung auf Webseiten: Quatsch oder Pflicht? – Artikel auf e-recht24.de

Das wichtigste daraus:

  • Rechtlich am sichersten ist ein Cookie-Banner, der es dem Benutzer erlaubt, aktiv zuzustimmen oder abzulehnen. Vorher werden keine Daten übertragen.
  • Rechtlich nicht so sicher ist ein Banner, der nur informiert.
  • Rechtlich riskant ist es, den Cookie-Banner wegzulassen und nur in der Datenschutzerklärung über Cookies zu informieren.

Aussage zu Cookie-Banner für die Schweiz

Cookie-Richtlinie, DSGVO und ePrivacy-Verordnung: Welche Websites benötigen ein Cookie-Banner?

  • Rechtssicher: Nicht notwendige Cookies werden erst nach Einwilligung der Besucher gesetzt.
  • Nicht ganz so rechtssicher: Benutzer bestätigen mit "Ja" oder "OK", können aber nicht ablehnen. Opt-Out-Möglichkeiten sind dann in der Datenschutzerklärung erläutert
  • Weniger rechtssicher: Cookiebanner informiert über die Verwendung von Cookies, ohne eine Einwilligung zu thematisieren.
  • Wenig sicher: Kein Cookiebanner. Nur in der Datenschutzerklärung wird auf Cookies eingegangen.

Interessant ist der Hinweis: Sätze wie "Wenn Sie mit der Nutzung der Website fortfahren, stellt das ihre Einwilligung dar" sind rechtlich nicht haltbar. Der Vergleich zur Erläuterung ist so gut, dass ich ihn hier noch einmal bringe. Niemand würde den folgenden Satz ernst nehmen: "Indem Sie mit der Nutzung der Website fortfahren, erklären Sie sich mit EUR 100.- Nutzungsgebühr einverstanden."

Es gibt also keine wirklichen Unterschiede zwischen der DSGVO-Empfehlung und der Empfehlung aus der Schweiz Bei beiden Artikeln fehlt mir eine Antwort auf die Frage, ob eine Einwilligung bei ausschliesslicher Verwendung von technisch notwendiger Cookies überhaupt nötig ist. Wenn da jemand mehr weiss, bitte ab in die Kommentare damit.

Bei der Recherche zu diesem Artikel bin ich aber auch auf diesen Link gestossen: Cookie-Banner für technisch notwendige Cookies erforderlich? Darin heisst es: "Aus dieser Vorschrift ist zu lesen, dass die Anforderungen einer informierten Einwilligung für technisch notwendige Cookies nicht gelten." Also bin ich selbst auch auf der sicheren Seite, denn ich habe schon lange Dienste aus der Website wieder ausgebaut, die nicht notwendige Tickets ausliefern.

Alle 3 Artikel stammen von Rechtsanwälten. Man kann also davon ausgehen, dass die Informationen in den Artikeln zumindest dem Stand bei Erstellung der Artikel entsprechen. Nicht ausschliessen kann man, dass es neue Urteile geben wird, wodurch die Aussagen wieder revidiert werden müssen.

Einwilligung auch bei Formularen?

Explizite Einwilligung zur Verarbeitung der Daten bei einem Formular nach Anwaltsmeinung nicht erforderlich.

Im Internet liesst man immer wieder die Meinung, der Benutzer müsse mit einer Checkbox der Verarbeitung seiner Daten zustimmen. Das ganze sieht dann so aus:

formular-gdpr

Es gibt sogar ein Plugin, welches die entsprechende Konfiguration übernimmt.

Doch braucht es das wirklich? In einem sehr emotionalen Podcast erläutert Anwalt Stephan Hansen-Oest, warum das nicht der Fall ist und wieso eine Einwilligung sogar nach hinten los gehen kann.

Das wichtigste: Bei einem Formular darf ich als Websitebetreiber davon ausgehen, dass sich der Ausfüller des Formulars weiss, dass die angegeben Daten verarbeitet werden. Hole ich eine aktive Einwilligung ein, dann kann diese auch widerrufen werden und du bist in dem Fall verpflichtet, alle Daten zu löschen. Das gilt dann auch für Backups. Viel Spass dabei ;-)

Ich habe mich aber entschlossen, das Tool mit einer etwas veränderten Meldung trotzdem noch einzusetzen. Bei mir steht jetzt: "Mir ist bewusst, dass wenn ich mit dir Kontakt aufnehme, du meine Personendaten bearbeitest. Weitere Informationen zum Datenschutz finde ich in der Datenschutzerklärung."

Ich frage also nicht mehr nach einer direkten Einwilligung, die dann auch zurückgezogen werden kann.

Datenschutzerklärungs-Generator

Die Datenschutzerklärung muss regelmässig überprüft werden.

Ganz ehrlich. Ich habe mit Inkrafttreten der DSGVO zwar erst geflucht, mich dann aber lange ins Thema eingelesen und dann mittels Datenschutz-Generator eine Datenschutzerklärung erstellt. Damit war das Thema für mich erst einmal erledigt. Da aber aufgrund gefällter Urteile die Thematik eine gewisse Dynamik besitzt, musst du regelmässig über die Bücher. Auch wenn Du deiner Website neue Komponenten hinzufügst oder alte entfernst, musst du prüfen, ob deine Datenschutzerklärung angepasst werden muss.

Wie kannst du als Laie den Überblick behalten? Anwalt oder Datenschutzerklärungs-Generator!

Vorlagen zum selber anpassen

Als Laie halte ich es für unmöglich, von Grund auf selber eine Datenschutzerklärung zu erstellen. Es gibt teilweise Vorlagen, die du anpassen kannst, zum Beispiel:

Doch hier ist fraglich, ob da wirklich alles enthalten ist.

Mit entsprechendem Budget kannst du zu einem Anwalt mit entsprechender Expertise gehen und lässt dir von ihm eine Datenschutzerklärung erstellen und später anpassen. Wenn dir das Budget – wie mir auch – fehlt, ist vielleicht eine Datenschutzerklärung-Generator die bessere Wahl.

Datenschutzerklärung-Generator – DGD Deutsche Gesellschaft für Datenschutz GmbH

Ich habe bei Inkrafttreten der DSGVO den Datenschutzerklärungs-Generator der DGD Deutsche Gesellschaft für Datenschutz GmbH verwendet. Der ist kostenlos, funktioniert ganz gut, nur der Text ist nicht wirklich angenehm zu lesen.

Datenschutz-Generator.de von RA Dr. Thomas Schwenke

Auch schon ausprobiert habe ich den Datenschutz-Generator.de von RA Dr. Thomas Schwenke. Die Bedienung ist hier etwas eigenartig. Es werden jedoch sehr viele Konstellationen abgedeckt. Für viele muss aber gezahlt werden. Das Preismodell ist mir auch nach Studium der FAQ nicht zu 100% klar. Bleibe ich unter EUR 5000.- Jahresumsatz, darf ich die Erklärung wohl kostenlos verwenden, wenn ich keine von den kostenpflichtigen Konstellationen mit drin haben will. Ansonsten hat man die Wahl zwischen einer einmaligen Gebühr und einer wiederkehrenden. Anscheinend lässt sich auch eine automatische Aktualisierung einrichten, wofür dann wohl das Abo notwendig ist.

Auch der Datenschutz-Generator von RA Dr. Schwenke hat eine Option, um den Wohnsitz in der Schweiz zu aktivieren.

Datenschutz-Generator von swissanwalt.ch

Auch ausprobieren wollte ich den Datenschutz-Generator von swissanwalt.ch. Meine Tests wurden aber als Spam bewertet und ich bin ausgesperrt worden. Interessehalbe habe ich mal dem Support geschrieben. Ich bin gespannt, wie schnell der reagiert. Hier kommt noch ein Update zur Reaktion.

Datenschutz-Generator auf datenschutzpartner.ch

Ich werde zukünftig aber auf Datenschutz-Generator auf datenschutzpartner.ch wechseln. Auch er ist kostenpflichtig und nicht wirklich günstig. Er deckt aber meine Bedürfnisse sehr gut ab.

Er kostet CHF 69.00 für eine Website, CHF 149.00 für drei und CHF 199.00 für fünf Jahre. Das pro Jahr, wobei man theoretisch auch jährlich kündigen kann. Dann kann man aber nicht mehr auf Knopfdruck Updates generieren. Es sind viele Dienste mit enthalten.

Auch dem Support von datenschutzpartner.ch habe ich eine Anfrage gesendet. Diese wurde zeitnah beantwortet.

Fazit Datenschutzerklärung

Die Erstellung einer Datenschutzerklärung dürfte wohl kaum jemand richtig Spass machen.
Man muss an alle möglichen Dienste denken, die auf der Website laufen.
Meiner Meinung nach ist es als Laie fast unmöglich, diese ohne fremde Hilfe zu erstellen.
Bei entsprechendem Budget beauftragt man einen kompetenten Rechtsanwalt.
Fehlt das Budget, macht der Einsatz eines Datenschutzerklärungs-Generator Sinn.
Bezahlte Angebote decken hier die Bedürfnisse besser ab als Gratis-Angebote.

In Relation zu meinen sehr bescheidenen Website-Einnahmen sind die Kosten für den eingesetzten Datenschutz-Generator hoch. Wenn du aber über dein Business und/oder deine Website deine Haupteinnahmen generierst, sollte es dir klar sein, dass für eine entsprechende rechtliche Absicherung auch entsprechend Geld in die Hand genommen werden muss.

Aber als sicherster Weg bleibt hier nur der Gang zu einem kompetenten Anwalt.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.