Das Gleichgewicht Ihrer Finanzen: Verlässlich, präzise, transparent.

 Datenschutzerklärung

Musterdatenschutzerklärung für Websitebetreiber nach den
Vorgaben der DSGVO
A. Erläuterung zur Musterdatenschutzerklärung
Die folgende Musterdatenschutzerklärung ist als Grundgerüst für eine der EU
Datenschutzgrundverordnung
(DSGVO)
konforme
Datenschutzerklärung
für
Websitebetreiber zu verstehen. Die Erklärung ist nicht abschließend und umfasst nicht alle
erforderlichen Elemente. Zudem können in der Mustererklärung Elemente enthalten sein, die
auf einzelnen Websites keinen Einsatz finden. Es ist daher stets eine entsprechende
Anpassung und Ergänzung der Erklärung durch den jeweiligen Websitebetreiber erforderlich.
Dieses Muster wurde von Professor Dr. Thomas Hoeren zusammen mit Mitarbeitern der
Forschungsstelle Recht des DFN-Vereins entwickelt. Der Mustertext dient Ihnen als
Vorschlag zur Umsetzung Ihrer eigenen Datenschutzerklärung für Ihre Webseite. Es ist Ihnen
gestattet, sich für diesen Zweck an den Formulierungen dieses Mustertextes zu orientieren.
Eine Nennung der Urheber dieses Mustertextes ist für diesen Fall nicht erforderlich. Bitte
beachten Sie jedoch, dass wir eine Gewährleistung und Haftung für die Rechtmäßigkeit und
Richtigkeit des Inhalts ausdrücklich ausschließen und nachdrücklich vor einer unbedachten
Übernahme des Musters, das auf die konkreten Bedürfnisse des Einzelfalls immer angepasst
werden muss, warnen.
I.
Fehlende Elemente der Musterdatenschutzerklärung
Es sei darauf hingewiesen, dass die im Folgenden aufgeführten Elemente nicht Teil unserer
Musterdatenschutzerklärung sind. Sofern ein Websitebetreiber ein oder mehrere der
beschriebenen Datenverarbeitungsszenarien auf seiner Website einsetzt, ist die Erklärung
hierauf entsprechend anzupassen. Dabei sind Art, Umfang, Zweck, Dauer und
Widerrufsmöglichkeiten der jeweiligen Datenverarbeitung im konkreten Einzelfall anzugeben.

  1. Newsletter-Tracking
    Setzt die Website ein Newsletter-Tracking ein, so ist auf die damit einhergehende
    Datenverarbeitung
    gesondert
    einzugehen.
    Eine
    Rechtfertigungsnorm
    Datenverarbeitung wird in Art. 6 Abs. 1 lit. f DSGVO zu finden sein.
  2. Blog mit Kommentarfunktion
    für
    die
    Beim Betrieb eines Blogs mit Kommentarfunktion werden zusätzliche personenbezogene
    Daten (Beispiel: Pseudonyme) gespeichert. Dabei muss auch auf eine Möglichkeit,
    1
    Stand September 2022
    Kommentare zu abonnieren, eingegangen werden. Das Kommentieren sollte nur nach
    Einholung einer Einwilligung zur Verarbeitung der personenbezogenen Daten möglich sein. In
    diesem Fall ist eine Rechtfertigung nach Art. 6 Abs. 1 lit. a DSGVO möglich.
  3. Verarbeitung besonderer Kategorien personenbezogener Daten, Art. 9 DSGVO
    Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft,
    politische Meinungen, religiöse und weltanschauliche Überzeugungen oder die
    Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten,
    biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
    Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer
    natürlichen Person sind grundsätzlich untersagt. Art. 9 Abs. 2 DSGVO enthält jedoch einen
    Ausnahmekatalog. Sollten Websitebetreiber Daten dieser Art auf ihrer Website verarbeiten,
    so ist vorweg eine Prüfung vorzunehmen. Die entsprechende Erlaubnisnorm ist dann in der
    Datenschutzerklärung zu nennen.
  4. E-Commerce
    Bietet der Websitebetreiber den Nutzern eine Plattform für den Abschluss von Verträgen (z.B.
    Kauf- oder Dienstverträge), so werden auch im Rahmen des Vertragsschlusses in aller Regel
    personenbezogene Daten des Vertragspartners erhoben. Auf diese Datenverarbeitung hat der
    Websitebetreiber gesondert und detailliert hinzuweisen. Soweit die Verarbeitung der Daten
    für den Abschluss des Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als
    Erlaubnisnorm für die Datenverarbeitung.
  5. Weitergabe personenbezogener Daten an Dritte
    Eine Vielzahl von Websites nutzt Erweiterungen von Drittanbietern. Oftmals werden bei
    solchen Implementierungen personenbezogene Daten an die Drittanbieter weitergegeben
    oder automatisiert übermittelt. Art, Umfang, Zweck und Dauer dieser Verarbeitung von
    personenbezogenen Daten können dabei im Einzelfall unterschiedlich ausgestaltet sein. Eine
    umfassende Auflistung aller Situationen, in denen personenbezogene Daten an Dritte
    weitergegeben werden, würde den Rahmen dieser Musterdatenschutzerklärung sprengen.
    Der Websitebetreiber hat daher im Einzelfall zu prüfen, welche Dienste von Drittanbietern er
    auf seiner Website in Anspruch nimmt und ob dabei eine Weitergabe von personenbezogenen
    Daten erfolgt. Entsprechend hat er diese Datenverarbeitung in der Datenschutzerklärung nach
    den Vorgaben (A.II.) aufzunehmen.
    Beispiele für die Weitergabe von personenbezogenen Daten an Dritte können sein:
    a) Weitergabe an Dienstleister
    2
    Stand September 2022
    Insbesondere im Rahmen von Vertragsschlüssen über die Website werden personenbezogene
    Daten oftmals an Dienstleister (z.B. Zulieferer) weitergegeben. Dienstleister können jedoch
    auch alleine im Interesse des Websitebetreibers tätig werden (z.B. technischer Service).
    b) Bezahldienste und Payment-Verfahren
    Einen Sonderfall der Weitergabe an Dienstleister stellt die Weitergabe der Daten an
    Bezahldienste dar.
    c) Third-Party-Cookies
    Die Einbindung von eigenen Cookies ist Teil der Musterdatenschutzerklärung (B.V.). Oftmals
    werden darüber hinaus auch Cookies von Drittanbietern eingesetzt. Diese sind detailliert zu
    beschreiben. Die Nutzer sind auf die Verwendung von Third-Party-Cookies beim Aufruf der
    Website hinzuweisen. Rechtsgrundlage für die Verwendung von Third-Party-Cookies kann
    Art. 6 Abs. 1 lit. f DSGVO sein. Es muss dann jedoch auch im Einzelfall ein berechtigtes
    Interesse für den Einsatz des Cookies angeführt werden.
    d) Einsatz von Social-Media-Plugins
    Beim Einsatz von Social-Media-Plugins werden personenbezogene Daten der Nutzer an die
    Anbieter sozialer Netzwerke weitergeleitet. Es ist empfehlenswert, derlei Plugins nur im
    Rahmen einer „Zwei-Klick-Lösung“ zu nutzen. Demnach werden die Daten erst nach
    vorheriger Einwilligung des Nutzers übermittelt. Rechtsgrundlage für die Verarbeitung der
    Daten nach einer Einwilligung des Nutzers ist Art. 6 Abs. 1 lit. a DSGVO.
    e) Websiteanalysedienste
    Websiteanalysedienste (z.B. Google Analytics oder Adobe Analytics) zur Effizienzsteigerung
    der eigenen Website, die von Drittanbietern betrieben werden, erfordern die Weitergabe von
    Daten über die Websitebesucher an die Drittanbieter. Eine Einwilligung der Nutzer wird dabei
    in aller Regel nicht eingeholt. Denkbar ist eine Rechtfertigung über Art. 6 Abs. 1 lit. f DSGVO,
    wenn ein berechtigtes Interesse des Websitebetreibers vorgebracht werden kann. Um die
    Interessen der Nutzer am Schutz ihrer personenbezogenen Daten zu schützen, ist jedoch eine
    Pseudonymisierung der Daten ratsam. In diesem Fall wird wohl nichts gegen den Einsatz der
    Analysedienste und die damit verbundene Weitergabe der pseudonymisierten Daten
    sprechen. Der genaue Einsatz ist in der Datenschutzerklärung zu dokumentieren.
    Falls der genutzte Dienst in irgendeiner Art und Weise Informationen in der Endeinrichtung
    des Nutzers speichert oder auf solche zugreift, ist nach § 25 Abs. 1 S. 1 TTDSG eine Einwilligung
    erforderlich.
    3
    f)
    Anzeigen- und Marketing-Dienste
    Stand September 2022
    Wird auf der Website Werbung geschaltet, so geschieht dies in der Regel unter Einbeziehung
    von Drittanbietern (z.B. Google AdSense oder AdWords). Meist findet dabei eine Weitergabe
    von personenbezogenen Daten der Nutzer in Form der IP-Adresse an die Vermittler statt. Die
    einschlägige Rechtsgrundlage richtet sich danach, ob der genutzte Dienst in irgendeiner Art
    und Weise Informationen in der Endeinrichtung des Nutzers speichert oder auf solche zugreift.
    Ist das der Fall, ist nach § 25 Abs. 1 S. 1 TTDSG eine Einwilligung erforderlich. Funktioniert der
    Dienst ohne jeden Zugriff auf die Endeinrichtung, ist die DSGVO einschlägig. Ist die Werbung
    zur Finanzierung der Website erforderlich, so erscheint eine Rechtfertigung nach Art. 6 Abs. 1
    lit. f DSGVO möglich.
    II.
    Vorgaben für das Hinzufügen weiterer Elemente
    Die Ergänzung der Musterdatenschutzerklärung um weitere Elemente hat Art, Umfang Zweck,
    Dauer und Widerrufsmöglichkeiten der jeweiligen Datenverarbeitung zu nennen. Der Aufbau
    könnte dabei folgendermaßen gestaltet werden:
  6. Umfang der Verarbeitung personenbezogener Daten
    Hier wird möglichst detailliert beschrieben, welche personenbezogenen Daten auf der
    Website durch wen auf welche Weise verarbeitet werden.
  7. Rechtsgrundlage für die Verarbeitung personenbezogener Daten
    Hier wird die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten genannt.
    In der Regel wird diese aus dem Katalog des Art. 6 Abs. 1 DSGVO stammen.
  8. Zweck der Datenverarbeitung
    Hier wird detailliert beschrieben, welche Zwecke der Websitebetreiber mit der Verarbeitung
    der personenbezogenen Daten bezweckt. Wird die Verarbeitung auf die Norm des Art. 6
    Abs. 1 lit. f DSGVO gestützt, wird in der Regel hierin auch das berechtigte Interesse an der
    Verarbeitung zu sehen sein. In diesem Fall ist jedoch stets zu prüfen, ob zur Erreichung des
    Zwecks auch mildere Mittel ersichtlich sind, die die Interessen der Nutzer am Schutz ihrer
    personenbezogenen Daten weniger stark beeinträchtigen.
  9. Dauer der Speicherung
    Grundsätzlich erfolgt eine Löschung der Daten, sobald der Zweck ihrer Erhebung erfüllt wurde.
    Es ist jedoch im Einzelfall näher anzugeben, wann dies für den konkreten Einsatzfall gegeben
    4
    Stand September 2022
    ist. Können keine genauen Angaben gemacht werden, so sind zumindest Kriterien zu nennen,
    die dem Nutzer eine Bestimmung des Löschungszeitpunktes erleichtern.
  10. Widerspruchs- und Beseitigungsmöglichkeit
    Für jede Datenverarbeitung sind dem Nutzer Informationen darüber zu geben, auf welche
    Weise die Verarbeitung der Daten verhindert werden kann oder bereits verarbeitete Daten
    vorzeitig gelöscht werden können. Hat der Nutzer zur Verarbeitung seine Einwilligung
    gegeben, so muss diese jederzeit widerrufen werden können. Der Widerruf darf dabei nicht
    schwerer sein als die Abgabe der Einwilligung. Das Vorgehen zur Abgabe des Widerrufs muss
    beschrieben werden.
    B. Musterdatenschutzerklärung nach der DSGVO
    I.
    Name und Anschrift des Verantwortlichen
    Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler
    Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher
    Bestimmungen ist die:
    Musterfirma
    Musterstraße 1
    12345 Musterstadt
    Deutschland
    Tel.: Telefonnummer
    E-Mail: muster@e-mail.de
    Website: www.musterwebsite.de
    II.
    Name und Anschrift des Datenschutzbeauftragten
    Der Datenschutzbeauftragte des Verantwortlichen ist:
    Max Mustermann
    Musterunternehmen (wenn extern)
    Musterstraße 1
    12345 Musterstadt
    Deutschland
    Tel.: Telefonnummer
    E-Mail: max.mustermann@e-mail.de
    Website: www.musterwebsite.de
    5
    III. Allgemeines zur Datenverarbeitung
    Stand September 2022
  11. Umfang der Verarbeitung personenbezogener Daten
    Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur
    Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen
    erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt
    regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen
    eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und
    die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
  12. Rechtsgrundlage für die Verarbeitung personenbezogener Daten
    Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der
    betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung
    (DSGVO) als Rechtsgrundlage.
    Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen
    Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als
    Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung
    vorvertraglicher Maßnahmen erforderlich sind.
    Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen
    Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c
    DSGVO als Rechtsgrundlage.
    Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen
    natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient
    Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
    Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder
    eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten
    des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als
    Rechtsgrundlage für die Verarbeitung.
  13. Datenlöschung und Speicherdauer
    Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald
    der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn
    dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen
    Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt,
    vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine