Datenschutz auf der Website
In aller Kürze
- Die Datenschutz-Grundverordnung (DSGVO) schützt personenbezogene Daten, beispielsweise Name, Telefonnummer, IP-Adresse etc.
- Als Verantwortliche:r einer Website müssen Sie auf Ihrer Website klar und verständlich über die Datenverarbeitung informieren. Sie müssen in der Datenschutzerklärung unter anderem über die Zwecke der Datenverarbeitung, die Rechtsgrundlagen, die Dauer der Datenverarbeitung und die Rechte der Betroffenen informieren.
Im Einzelnen:
Datenschutz auf der Website
Die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in Kraft ist, schützt Personen bei der Verarbeitung ihrer personenbezogenen Daten. Personenbezogene Daten dürfen nur verarbeitet werden, wenn es hierfür eine Rechtsgrundlage in der Datenschutz-Grundverordnung (DSGVO) gibt. Die Rechtsgrundlagen finden Sie in Art. 6 DSGVO (z. B. Einwilligung oder berechtigtes Interesse). Ohne Rechtsgrundlage ist die Datenverarbeitung unzulässig. Aber auch wenn Sie sich auf eine Rechtsgrundlage berufen können, sollten Sie so wenig Daten wie möglich erheben: Es gilt das Gebot der Datensparsamkeit. Das lässt sich im Internet aber kaum umsetzen, denn schon beim Aufruf einer Website werden zumindest die Zugriffsdaten der Besucher:innen gespeichert.
Was sind personenbezogene Daten?
In Artikel 4 DSGVO finden Sie einen Katalog mit den Definitionen von Begriffen, die im Datenschutz relevant sind. Personenbezogene Daten sind danach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; (…) (vgl. Art. 4 Nr. 1 DSGVO).
Um zu klären, ob eine Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die die verantwortliche Stelle (oder eine andere Person) nach allgemeinem Ermessen wahrscheinlich nutzen wird, um die Person direkt oder indirekt zu identifizieren (Erwägungsgrund 26 der DSGVO). Die Rechtsprechung legt den Begriff weit aus.
Beispiele für personenbezogenen Daten:
Name, Anschrift, E-Mail-Adresse, Telefonnummer, Online-Kennungen wie IP-Adresse oder Cookies, Steuernummer, Bankverbindung, Geburtsdatum, Kfz-Kennzeichen, Haarfarbe, Größe, Abbildung von Personen auf Fotos etc.
Wo werden Daten erhoben?
Auf einer Website werden – neben der IP-Adresse – häufig Daten über Kontaktformulare abgefragt, beispielsweise zwecks Anmeldung zu einem Workshop oder einem Newsletter oder bei der Anfrage für eine Dienstleistung, die Sie anbieten. Daten werden auch verarbeitet, wenn Sie auf Ihrer Website Analyse-Tools (z. B. Google Analytics) verwenden oder Social Media Plugins nutzen (z. B. den „Gefällt-mir“-Button von Facebook).
Datenschutz: Informationspflichten nach der DSGVO
Als Verantwortliche:r der Website müssen Sie auf Ihrer Website klar und verständlich über die Datenverarbeitung informieren. Das machen Sie üblicherweise in der Datenschutzerklärung. Die Informationen, die Sie mitteilen müssen, finden Sie in Artikel 13 DSGVO. Danach müssen Sie zum Beispiel hierüber informieren:
- Name und Kontaktdaten der verantwortlichen Stelle (und der/des Datenschutzbeauftragten, soweit vorhanden)
- Zwecke der Datenverarbeitung, zum Beispiel für die Vertragsdurchführung, zur Website-Optimierung, für Werbezwecke usw.
- Sie müssen auch die Rechtsgrundlagen nennen, auf deren Basis Sie die Daten verarbeiten. Wesentliche Rechtsgrundlagen sind beispielsweise die Einwilligung (Art. 6 Abs. 1 a) DSGVO) oder die Erfüllung eines Vertrags (Art. 6 Abs. 1 b)
- Dauer der Datenverarbeitung (wann löschen Sie die Daten?) bzw. Kriterien für die Festlegung der Dauer (Art. 13 Absatz 2 a DSGVO)
- Rechte der Betroffenen, insbesondere Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO) , Löschung (Art. 17 DSGVO), Widerspruchsrecht (Art. 21 DSGVO) etc.
- Bei Einwilligung: Hinweis auf Widerrufsrecht erforderlich (Art. 13 Absatz 2 c DSGVO)
- …
Als Verantwortliche:r einer Website müssen Sie die Datenschutzhinweise in transparenter Weise bereitstellen. Sie müssen also genau wie für das Impressum einen eindeutig bezeichneten Link (z. B. „Datenschutzerklärung“ oder „Datenschutz“) auf Ihrer Website bereithalten. Beim Klick auf diesen Link gelangen Ihre Besucher:innen zu den Datenschutzhinweisen. Wichtig ist dabei, dass die Nutzer:innen den Link auch aufrufen können, wenn sie sich gerade auf einer Ihrer Unterseiten befinden.
Was Sie beim Datentransfer in Nicht-EU-Staaten beachten müssen, lesen Sie hier.
Vorsicht beim Cookie-Banner
Wenn Sie ein Cookie-Banner verwenden, achten Sie darauf, dass die Datenschutzerklärung dadurch nicht verdeckt wird. Das gilt übrigens auch für Ihr Impressum. Wenn Nutzer:innen das Banner erst „wegklicken“ müssen, um Ihre Datenschutzerklärung und Ihr Impressum zu finden, sollten Sie das zügig reparieren.
Datenschutz-Grundverordnung: vollständiger Text
Die vollständige Fassung der Datenschutz-Grundverordnung mit allen Erwägungsgründen finden Sie auf der Website der EU hier .