Datenschutzerklärung für Websitebetreiber nach den Vorgaben der DSGVO
Die folgende Datenschutzerklärung ist als
Grundgerüst für eine der EU-Datenschutzgrundverordnung (DSGVO) konforme
Datenschutzerklärung für Websitebetreiber zu verstehen. Die Erklärung ist nicht
abschließend und umfasst nicht alle erforderlichen Elemente. Zudem können in der
Erklärung Elemente enthalten sein, die auf einzelnen Websites keinen
Einsatz finden. Es ist daher stets eine entsprechende Anpassung und Ergänzung
der Erklärung durch den jeweiligen Websitebetreiber erforderlich.
Dieses Muster wurde von Professor Dr. Thomas
Hoeren zusammen mit Mitarbeitern der Forschungsstelle Recht des DFN Vereins
entwickelt (unter anderem Johannes Baur und Charlotte Röttgen). Wir schließen
unsere Gewährleistung und Haftung für die Rechtmäßigkeit und Richtigkeit des
Inhalts ausdrücklich aus und warnen nachdrücklich vor einer unbedachten
Übernahme des Musters, das auf die konkreten Bedürfnisse des Einzelfalls immer
angepasst werden muss.
Die folgenden Elemente sind nicht Teil der
Datenschutzerklärung. Es ist im Einzelfall zu prüfen, ob ein Einsatz durch
den Websitebetreiber erfolgt. In diesem Fall ist die Erklärung entsprechend zu
erweitern. Dabei sind Art, Umfang, Zweck, Dauer und Widerrufsmöglichkeiten der
Datenverarbeitung anzugeben.
Setzt die Website ein Newsletter-Tracking ein, so ist auf
die damit einhergehende Datenverarbeitung gesondert einzugehen. Eine
Rechtfertigungsnorm für die Datenverarbeitung wird in Art. 6 Abs. 1 lit. f DSGVO
zu finden sein.
Beim Betrieb eines Blogs mit Kommentarfunktion werden
zusätzliche personenbezogene Daten (Beispiel: Pseudonyme) gespeichert. Dabei
muss auch auf eine Möglichkeit, Kommentare zu abonnieren, eingegangen werden.
Das Kommentieren sollte nur nach Einholung einer Einwilligung zur Verarbeitung
der personenbezogenen Daten möglich sein. In diesem Fall ist eine Rechtfertigung
nach Art. 6 Abs. 1 lit. a DSGVO möglich.
Die Verarbeitung personenbezogener Daten, aus denen die
rassische und ethnische Herkunft, politische Meinungen, religiöse und
weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur
eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
sind grundsätzlich untersagt. Art. 9 Abs. 2 DSGVO enthält jedoch einen
Ausnahmekatalog. Sollten Websitebetreiber Daten dieser Art auf ihrer Website
verarbeiten, so ist vorweg eine Prüfung vorzunehmen. Die entsprechende
Erlaubnisnorm ist dann in der Datenschutzerklärung zu nennen.
Bietet der Websitebetreiber den Nutzern eine Plattform für
den Abschluss von Verträgen (z.B. Kauf- oder Dienstverträge), so werden auch im
Rahmen des Vertragsschlusses in aller Regel personenbezogene Daten des
Vertragspartners erhoben. Auf diese Datenverarbeitung hat der Websitebetreiber
gesondert und detailliert hinzuweisen. Soweit die Verarbeitung der Daten für den
Abschluss des Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als
Erlaubnisnorm für die Datenverarbeitung.
Eine Vielzahl von Websites nutzt Erweiterungen von
Drittanbietern. Oftmals werden bei solchen Implementierungen personenbezogene
Daten an die Drittanbieter weitergegeben oder automatisiert übermittelt. Art,
Umfang, Zweck und Dauer dieser Verarbeitung von personenbezogenen Daten können
dabei im Einzelfall unterschiedlich ausgestaltet sein. Eine umfassende
Auflistung aller Situationen, in denen personenbezogene Daten an Dritte
weitergegeben werden, würde den Rahmen dieser Musterdatenschutzerklärung
sprengen. Der Websitebetreiber hat daher im Einzelfall zu prüfen, welche Dienste
von Drittanbietern er auf seiner Website in Anspruch nimmt und ob dabei eine
Weitergabe von personenbezogenen Daten erfolgt. Entsprechend hat er diese
Datenverarbeitung in der Datenschutzerklärung nach den Vorgaben (A.II.)
aufzunehmen.
Beispiele für die Weitergabe von personenbezogenen
Daten an Dritte können sein:
Insbesondere im Rahmen von Vertragsschlüssen über die
Website werden personenbezogene Daten oftmals an Dienstleister (z.B. Zulieferer)
weitergegeben. Dienstleister können jedoch auch alleine im Interesse des
Websitebetreibers tätig werden (z.B. technischer Service).
Einen Sonderfall der Weitergabe an Dienstleister stellt die
Weitergabe der Daten an Bezahldienste dar.
Die Einbindung von eigenen Cookies ist Teil der
Musterdatenschutzerklärung (B.V.). Oftmals werden darüber hinaus auch Cookies
von Drittanbietern eingesetzt. Diese sind detailliert zu beschreiben. Die Nutzer
sind auf die Verwendung von Third-Party-Cookies beim Aufruf der Website
hinzuweisen. Eine Verhinderungsmöglichkeit zur Speicherung dieser Cookies findet
sich in den Einstellungen des Browsers. Rechtsgrundlage für die Verwendung von
Third-Party-Cookies ist Art. 6 Abs. 1 lit. f DSGVO. Es muss dann jedoch auch im
Einzelfall ein berechtigtes Interesse für den Einsatz des Cookies angeführt
werden.
Websiteanalysedienste (z.B. Google Analytics oder Adobe
Analytics) zur Effizienzsteigerung der eigenen Website, die von Drittanbietern
betrieben werden, erfordern die Weitergabe von Daten über die Websitebesucher an
die Drittanbieter. Eine Einwilligung der Nutzer wird dabei in aller Regel nicht
eingeholt. Denkbar ist eine Rechtfertigung über Art. 6 Abs. 1 lit. f DSGVO, wenn
ein berechtigtes Interesse des Websitebetreibers vorgebracht werden kann. Um die
Interessen der Nutzer am Schutz ihrer personenbezogenen Daten zu schützen, ist
jedoch eine Pseudonymisierung der Daten ratsam. In diesem Fall wird wohl nichts
gegen den Einsatz der Analysedienste und die damit verbundene Weitergabe der
pseudonymisierten Daten sprechen. Der genaue Einsatz ist in der
Datenschutzerklärung zu dokumentieren.
Wird auf der Website Werbung geschaltet, so geschieht dies
in der Regel unter Einbeziehung von Drittanbietern (z.B. Google AdSense oder
AdWords). Meist findet dabei eine Weitergabe von personenbezogenen Daten der
Nutzer in Form der IP-Adresse an die Vermittler statt. Ist die Werbung zur
Finanzierung der Website erforderlich, so erscheint eine Rechtfertigung nach
Art. 6 Abs. 1 lit. f DSGVO möglich.
Die Ergänzung der Musterdatenschutzerklärung um weitere
Elemente hat Art, Umfang Zweck, Dauer und Widerrufsmöglichkeiten der jeweiligen
Datenverarbeitung zu nennen. Der Aufbau könnte dabei folgendermaßen gestaltet
werden:
Hier wird möglichst detailliert beschrieben, welche
personenbezogenen Daten auf der Website durch wen auf welche Weise verarbeitet
werden.
Hier wird die Rechtsgrundlage für die Verarbeitung der
personenbezogenen Daten genannt. In der Regel wird diese aus dem Katalog des
Art. 6 Abs. 1 DSGVO stammen.
Hier wird detailliert beschrieben, welche Zwecke der
Websitebetreiber mit der Verarbeitung der personenbezogenen Daten bezweckt. Wird
die Verarbeitung auf die Norm des Art. 6 Abs. 1 lit. f DSGVO gestützt, wird in
der Regel hierin auch das berechtigte Interesse an der Verarbeitung zu sehen
sein. In diesem Fall ist jedoch stets zu prüfen, ob zur Erreichung des Zwecks
auch mildere Mittel ersichtlich sind, die die Interessen der Nutzer am Schutz
ihrer personenbezogenen Daten weniger stark beeinträchtigen.
Grundsätzlich erfolgt eine Löschung der Daten, sobald der
Zweck ihrer Erhebung erfüllt wurde. Es ist jedoch im Einzelfall näher anzugeben,
wann dies für den konkreten Einsatzfall gegeben ist. Können keine genauen
Angaben gemacht werden, so sind zumindest Kriterien zu nennen, die dem Nutzer
eine Bestimmung des Löschungszeitpunktes erleichtern.
Für jede Datenverarbeitung sind dem Nutzer Informationen
darüber zu geben, auf welche Weise die Verarbeitung der Daten verhindert werden
kann oder bereits verarbeitete Daten vorzeitig gelöscht werden können. Hat der
Nutzer zur Verarbeitung seine Einwilligung gegeben, so muss diese jederzeit
widerrufen werden können. Der Widerruf darf dabei nicht schwerer sein als die
Abgabe der Einwilligung. Das Vorgehen zur Abgabe des Widerrufs muss beschrieben
werden.
Der Verantwortliche im Sinne der
Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der
Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
A-H-S
Computer
Angermunder
Straße 18
40489
Düsseldorf
Deutschland
Tel.: 0203
72999790
E-Mail:
info@a-h-s.info
Website: www.a-h-s.info
Der Datenschutzbeauftragte des Verantwortlichen
ist:
Kein Datenschutzbeauftragter, da
Einzelunternehmung.
Wir erheben und verwenden personenbezogene Daten unserer
Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen
Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und
Verwendung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach
Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine
vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich
ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
Soweit wir für Verarbeitungsvorgänge
personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient
Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten,
die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person
ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage.
Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher
Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten
zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser
Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der
betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung
personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO
als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten
Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen
die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte
Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die
Verarbeitung.
Die personenbezogenen Daten der betroffenen Person werden
gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine
Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder
nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder
sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde.
Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die
genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine
Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss
oder eine Vertragserfüllung besteht.
Bei jedem Aufruf unserer Internetseite erfasst
unser System automatisiert Daten und Informationen vom Computersystem des
aufrufenden Rechners.
Folgende Daten werden hierbei erhoben:
(1)
Informationen über den Browsertyp und die
verwendete Version
(2)
Das Betriebssystem des Nutzers
(3)
Den Internet-Service-Provider des Nutzers
(4)
Die IP-Adresse des Nutzers
(5)
Datum und Uhrzeit des Zugriffs
(6)
Websites, von denen das System des Nutzers auf
unsere Internetseite gelangt
(7)
Websites, die vom System des Nutzers über unsere
Website aufgerufen werden
Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine
Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des
Nutzers findet nicht statt.
Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles
ist Art. 6 Abs. 1 lit. f DSGVO.
Die vorübergehende Speicherung der IP-Adresse
durch das System ist notwendig, um eine Auslieferung der Website an den Rechner
des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die
Dauer der Sitzung gespeichert bleiben.
Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website
sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Website und zur
Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine
Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht
statt.
In diesen Zwecken liegt auch unser berechtigtes
Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.
Die Daten werden gelöscht, sobald sie für die
Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der
Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die
jeweilige Sitzung beendet ist.
Die Erfassung der Daten zur Bereitstellung der Website und
die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite
zwingend erforderlich. Es besteht folglich seitens des Nutzers keine
Widerspruchsmöglichkeit.
a) Beschreibung und Umfang der Datenverarbeitung
Unsere Webseite verwendet keine Cookies. Bei Cookies
handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser
auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine
Website auf, so kann ein Cookie auf dem Betriebssystem des Nutzers gespeichert
werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine
eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Website
ermöglicht.
Kein Newsletterversand.
Keine Registrierung.
Alternativ ist eine Kontaktaufnahme über die
bereitgestellte E-Mail-Adresse möglich. In diesem Fall werden die mit der E-Mail
übermittelten personenbezogenen Daten des Nutzers gespeichert.
Es erfolgt in diesem Zusammenhang keine Weitergabe
der Daten an Dritte. Die Daten werden ausschließlich für die Verarbeitung der
Konversation verwendet.
Rechtsgrundlage für die Verarbeitung der Daten ist
bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DSGVO.
Rechtsgrundlage für die Verarbeitung der Daten, die
im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1
lit. f DSGVO. Zielt der E-Mail-Kontakt auf den Abschluss eines Vertrages ab, so
ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO.
Die Verarbeitung der personenbezogenen Daten aus
der Eingabemaske dient uns allein zur Bearbeitung der Kontaktaufnahme. Im Falle
einer Kontaktaufnahme per E-Mail liegt hieran auch das erforderliche berechtigte
Interesse an der Verarbeitung der Daten.
Die sonstigen während des Absendevorgangs
verarbeiteten personenbezogenen Daten dienen dazu, einen Missbrauch des
Kontaktformulars zu verhindern und die Sicherheit unserer
informationstechnischen Systeme sicherzustellen.
Die Daten werden gelöscht, sobald sie für die
Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die
personenbezogenen Daten aus der Eingabemaske des Kontaktformulars und
diejenigen, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die
jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation
dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene
Sachverhalt abschließend geklärt ist.
Die während des Absendevorgangs zusätzlich
erhobenen personenbezogenen Daten werden spätestens nach einer Frist von sieben
Tagen gelöscht.
Der Nutzer hat jederzeit die Möglichkeit, seine
Einwilligung zur Verarbeitung der personenbezogenen Daten zu widerrufen. Nimmt
der Nutzer per E-Mail Kontakt mit uns auf, so kann er der Speicherung seiner
personenbezogenen Daten jederzeit widersprechen. In einem solchen Fall kann die
Konversation nicht fortgeführt werden.