Musterdatenschutzerklärung für Websitebetreiber nach den Vorgaben der DSGVO

 

A.           Erläuterung zur Musterdatenschutzerklärung

Die folgende Musterdatenschutzerklärung ist als Grundgerüst für eine der EU-Datenschutzgrundverordnung (DSGVO) konforme Datenschutzerklärung für Websitebetreiber zu verstehen. Die Erklärung ist nicht abschließend und umfasst nicht alle erforderlichen Elemente. Zudem können in der Mustererklärung Elemente enthalten sein, die auf einzelnen Websites keinen Einsatz finden. Es ist daher stets eine entsprechende Anpassung und Ergänzung der Erklärung durch den jeweiligen Websitebetreiber erforderlich.

 

Dieses Muster wurde von Professor Dr. Thomas Hoeren zusammen mit Mitarbeitern der Forschungsstelle Recht des DFN Vereins entwickelt (unter anderem Johannes Baur und Charlotte Röttgen). Wir schließen unsere Gewährleistung und Haftung für die Rechtmäßigkeit und Richtigkeit des Inhalts ausdrücklich aus und warnen nachdrücklich vor einer unbedachten Übernahme des Musters, das auf die konkreten Bedürfnisse des Einzelfalls immer angepasst werden muss.

I.         Fehlende Elemente der Musterdatenschutzerklärung

Die folgenden Elemente sind nicht Teil der Musterdatenschutzerklärung. Es ist im Einzelfall zu prüfen, ob ein Einsatz durch den Websitebetreiber erfolgt. In diesem Fall ist die Erklärung entsprechend zu erweitern. Dabei sind Art, Umfang, Zweck, Dauer und Widerrufsmöglichkeiten der Datenverarbeitung anzugeben.

1.        Newsletter-Tracking

Setzt die Website ein Newsletter-Tracking ein, so ist auf die damit einhergehende Datenverarbeitung gesondert einzugehen. Eine Rechtfertigungsnorm für die Datenverarbeitung wird in Art. 6 Abs. 1 lit. f DSGVO zu finden sein.

2.        Blog mit Kommentarfunktion

Beim Betrieb eines Blogs mit Kommentarfunktion werden zusätzliche personenbezogene Daten (Beispiel: Pseudonyme) gespeichert. Dabei muss auch auf eine Möglichkeit, Kommentare zu abonnieren, eingegangen werden. Das Kommentieren sollte nur nach Einholung einer Einwilligung zur Verarbeitung der personenbezogenen Daten möglich sein. In diesem Fall ist eine Rechtfertigung nach Art. 6 Abs. 1 lit. a DSGVO möglich.

3.        Verarbeitung besonderer Kategorien personenbezogener Daten, Art. 9 DSGVO

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person sind grundsätzlich untersagt. Art. 9 Abs. 2 DSGVO enthält jedoch einen Ausnahmekatalog. Sollten Websitebetreiber Daten dieser Art auf ihrer Website verarbeiten, so ist vorweg eine Prüfung vorzunehmen. Die entsprechende Erlaubnisnorm ist dann in der Datenschutzerklärung zu nennen.

4.        E-Commerce

Bietet der Websitebetreiber den Nutzern eine Plattform für den Abschluss von Verträgen (z.B. Kauf- oder Dienstverträge), so werden auch im Rahmen des Vertragsschlusses in aller Regel personenbezogene Daten des Vertragspartners erhoben. Auf diese Datenverarbeitung hat der Websitebetreiber gesondert und detailliert hinzuweisen. Soweit die Verarbeitung der Daten für den Abschluss des Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Erlaubnisnorm für die Datenverarbeitung.

5.        Weitergabe personenbezogener Daten an Dritte

Eine Vielzahl von Websites nutzt Erweiterungen von Drittanbietern. Oftmals werden bei solchen Implementierungen personenbezogene Daten an die Drittanbieter weitergegeben oder automatisiert übermittelt. Art, Umfang, Zweck und Dauer dieser Verarbeitung von personenbezogenen Daten können dabei im Einzelfall unterschiedlich ausgestaltet sein. Eine umfassende Auflistung aller Situationen, in denen personenbezogene Daten an Dritte weitergegeben werden, würde den Rahmen dieser Musterdatenschutzerklärung sprengen. Der Websitebetreiber hat daher im Einzelfall zu prüfen, welche Dienste von Drittanbietern er auf seiner Website in Anspruch nimmt und ob dabei eine Weitergabe von personenbezogenen Daten erfolgt. Entsprechend hat er diese Datenverarbeitung in der Datenschutzerklärung nach den Vorgaben (A.II.) aufzunehmen.

 

Beispiele für die Weitergabe von personenbezogenen Daten an Dritte können sein:

a)        Weitergabe an Dienstleister

Insbesondere im Rahmen von Vertragsschlüssen über die Website werden personenbezogene Daten oftmals an Dienstleister (z.B. Zulieferer) weitergegeben. Dienstleister können jedoch auch alleine im Interesse des Websitebetreibers tätig werden (z.B. technischer Service).

b)       Bezahldienste und Payment-Verfahren

Einen Sonderfall der Weitergabe an Dienstleister stellt die Weitergabe der Daten an Bezahldienste dar.

c)        Third-Party-Cookies

Die Einbindung von eigenen Cookies ist Teil der Musterdatenschutzerklärung (B.V.). Oftmals werden darüber hinaus auch Cookies von Drittanbietern eingesetzt. Diese sind detailliert zu beschreiben. Die Nutzer sind auf die Verwendung von Third-Party-Cookies beim Aufruf der Website hinzuweisen. Eine Verhinderungsmöglichkeit zur Speicherung dieser Cookies findet sich in den Einstellungen des Browsers. Rechtsgrundlage für die Verwendung von Third-Party-Cookies ist Art. 6 Abs. 1 lit. f DSGVO. Es muss dann jedoch auch im Einzelfall ein berechtigtes Interesse für den Einsatz des Cookies angeführt werden.

d)       Einsatz von Social-Media-Plugins

Beim Einsatz von Social-Media-Plugins werden personenbezogene Daten der Nutzer an die Anbieter sozialer Netzwerke weitergeleitet. Nach bisheriger Rechtslage war es empfehlenswert, derlei Plugins nur im Rahmen einer „Zwei-Klick-Lösung“ zu nutzen. Demnach wurden die Daten erst nach vorheriger Einwilligung des Nutzers übermittelt. Auch nach Einführung der DSGVO ist dieser Weg gangbar und wohl rechtssicher. Rechtsgrundlage für die Verarbeitung der Daten nach einer Einwilligung des Nutzers ist Art. 6 Abs. 1 lit. a DSGVO.

e)        Websiteanalysedienste

Websiteanalysedienste (z.B. Google Analytics oder Adobe Analytics) zur Effizienzsteigerung der eigenen Website, die von Drittanbietern betrieben werden, erfordern die Weitergabe von Daten über die Websitebesucher an die Drittanbieter. Eine Einwilligung der Nutzer wird dabei in aller Regel nicht eingeholt. Denkbar ist eine Rechtfertigung über Art. 6 Abs. 1 lit. f DSGVO, wenn ein berechtigtes Interesse des Websitebetreibers vorgebracht werden kann. Um die Interessen der Nutzer am Schutz ihrer personenbezogenen Daten zu schützen, ist jedoch eine Pseudonymisierung der Daten ratsam. In diesem Fall wird wohl nichts gegen den Einsatz der Analysedienste und die damit verbundene Weitergabe der pseudonymisierten Daten sprechen. Der genaue Einsatz ist in der Datenschutzerklärung zu dokumentieren.

f)         Anzeigen- und Marketing-Dienste

Wird auf der Website Werbung geschaltet, so geschieht dies in der Regel unter Einbeziehung von Drittanbietern (z.B. Google AdSense oder AdWords). Meist findet dabei eine Weitergabe von personenbezogenen Daten der Nutzer in Form der IP-Adresse an die Vermittler statt. Ist die Werbung zur Finanzierung der Website erforderlich, so erscheint eine Rechtfertigung nach Art. 6 Abs. 1 lit. f DSGVO möglich.

II.       Vorgaben für das Hinzufügen weiterer Elemente

Die Ergänzung der Musterdatenschutzerklärung um weitere Elemente hat Art, Umfang Zweck, Dauer und Widerrufsmöglichkeiten der jeweiligen Datenverarbeitung zu nennen. Der Aufbau könnte dabei folgendermaßen gestaltet werden:

1.        Umfang der Verarbeitung personenbezogener Daten

Hier wird möglichst detailliert beschrieben, welche personenbezogenen Daten auf der Website durch wen auf welche Weise verarbeitet werden.

2.        Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Hier wird die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten genannt. In der Regel wird diese aus dem Katalog des Art. 6 Abs. 1 DSGVO stammen.

3.        Zweck der Datenverarbeitung

Hier wird detailliert beschrieben, welche Zwecke der Websitebetreiber mit der Verarbeitung der personenbezogenen Daten bezweckt. Wird die Verarbeitung auf die Norm des Art. 6 Abs. 1 lit. f DSGVO gestützt, wird in der Regel hierin auch das berechtigte Interesse an der Verarbeitung zu sehen sein. In diesem Fall ist jedoch stets zu prüfen, ob zur Erreichung des Zwecks auch mildere Mittel ersichtlich sind, die die Interessen der Nutzer am Schutz ihrer personenbezogenen Daten weniger stark beeinträchtigen.

4.        Dauer der Speicherung

Grundsätzlich erfolgt eine Löschung der Daten, sobald der Zweck ihrer Erhebung erfüllt wurde. Es ist jedoch im Einzelfall näher anzugeben, wann dies für den konkreten Einsatzfall gegeben ist. Können keine genauen Angaben gemacht werden, so sind zumindest Kriterien zu nennen, die dem Nutzer eine Bestimmung des Löschungszeitpunktes erleichtern.

5.        Widerspruchs- und Beseitigungsmöglichkeit

Für jede Datenverarbeitung sind dem Nutzer Informationen darüber zu geben, auf welche Weise die Verarbeitung der Daten verhindert werden kann oder bereits verarbeitete Daten vorzeitig gelöscht werden können. Hat der Nutzer zur Verarbeitung seine Einwilligung gegeben, so muss diese jederzeit widerrufen werden können. Der Widerruf darf dabei nicht schwerer sein als die Abgabe der Einwilligung. Das Vorgehen zur Abgabe des Widerrufs muss beschrieben werden.

B.      Musterdatenschutzerklärung nach der DSGVO

I.         Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

 

A-H-S Computer        

Angermunder Straße 18

40489 Düsseldorf

Deutschland

Tel.: 0203 72999790

E-Mail: info@a-h-s.info

Website: www.a-h-s.info

II.       Name und Anschrift des Datenschutzbeauftragten

Der Datenschutzbeauftragte des Verantwortlichen ist:

Kein Datenschutzbeauftragter, da Einzelunternehmung.

III.     

IV.    Allgemeines zur Datenverarbeitung

1.        Umfang der Verarbeitung personenbezogener Daten

Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

2.        Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

3.        Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

V.       Bereitstellung der Website und Erstellung von Logfiles

1.        Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.

Folgende Daten werden hierbei erhoben:

 

 

(1)   Informationen über den Browsertyp und die verwendete Version

(2)   Das Betriebssystem des Nutzers

(3)   Den Internet-Service-Provider des Nutzers

(4)   Die IP-Adresse des Nutzers

(5)   Datum und Uhrzeit des Zugriffs

(6)   Websites, von denen das System des Nutzers auf unsere Internetseite gelangt

(7)   Websites, die vom System des Nutzers über unsere Website aufgerufen werden

Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

 

2.        Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.

 

3.        Zweck der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

 

Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Website und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

 

In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

4.        Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist.

 

5.        Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

VI.    Verwendung von Cookies

a) Beschreibung und Umfang der Datenverarbeitung

Unsere Webseite verwendet keine Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Website auf, so kann ein Cookie auf dem Betriebssystem des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website ermöglicht.

VII.  Newsletter

Kein Newsletterversand.

 

 

 

VIII.         Registrierung

Keine Registrierung.

 

 

IX.          Kontaktformular und E-Mail-Kontakt

 

Alternativ ist eine Kontaktaufnahme über die bereitgestellte E-Mail-Adresse möglich. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten des Nutzers gespeichert.

 

Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für die Verarbeitung der Konversation verwendet.

6.        Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DSGVO.

 

Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO. Zielt der E-Mail-Kontakt auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO.

7.        Zweck der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske dient uns allein zur Bearbeitung der Kontaktaufnahme. Im Falle einer Kontaktaufnahme per E-Mail liegt hieran auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten.

Die sonstigen während des Absendevorgangs verarbeiteten personenbezogenen Daten dienen dazu, einen Missbrauch des Kontaktformulars zu verhindern und die Sicherheit unserer informationstechnischen Systeme sicherzustellen.

8.        Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des Kontaktformulars und diejenigen, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.

 

Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten werden spätestens nach einer Frist von sieben Tagen gelöscht.

9.        Widerspruchs- und Beseitigungsmöglichkeit

Der Nutzer hat jederzeit die Möglichkeit, seine Einwilligung zur Verarbeitung der personenbezogenen Daten zu widerrufen. Nimmt der Nutzer per E-Mail Kontakt mit uns auf, so kann er der Speicherung seiner personenbezogenen Daten jederzeit widersprechen. In einem solchen Fall kann die Konversation nicht fortgeführt werden.

 Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht.

 

 

 

 

Hauptmenü