Unternehmer und Selbstständige müssen sich im Rahmen Ihres Online-Auftritts mit der Datenschutzerklärung auf Ihrer Website auseinandersetzen. Hier stellt sich die Frage, ob die Erstellung der Datenschutzerklärung per Generator ausreicht und empfehlenswert ist oder ob die Erstellung einer individuelle Datenschutzerklärung durch einen Experten ratsam ist. Die Vor- und Nachteile dieser Optionen beleuchten wir in diesem Artikel näher!

Datenschutzerklärung – was ist das und wer braucht sie?

Sobald auf einer Website personenbezogene Daten verarbeitet werden, wird die Erstellung und Veröffentlichung einer Datenschutzerklärung erforderlich (vgl. Art. 13 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen (Art. 4 Nr. 1 DSGVO). Hierunter fallen beispielweise der Vor- und Nachname, die Telefonnummer, die Bankdaten oder eine Kundennummer. Bei der Frage, ob eine Datenschutzerklärung erforderlich ist oder nicht ist irrelevant, ob die Website privat oder gewerblich betrieben wird. In der Datenschutzerklärung muss der Verantwortliche klar benannt werden. Es muss in klarer und verständlicher Weise darüber informiert werden, welche personenbezogenen Daten auf der Website zu welchem Zweck und auf welcher Rechtsgrundlage basierend erfasst und verarbeitet werden. Es muss außerdem die Dauer der Speicherung der personenbezogenen Daten ersichtlich sein. Ein maßgeblicher Bestandteil der Datenschutzerklärung ist die Darlegung der Betroffenenrechte, das heißt der Rechte, die der Websitenutzer in Bezug auf die von ihm erhobenen personenbezogenen Daten hat (z.B. Auskunftsrecht, Recht auf Löschung etc.). Wenn du mehr darüber erfahren willst, was eine Datenschutzerklärung eigentlich ist, kannst du in unserem Blog-Beitrag bei Easy Datenschutz weiterlesen.

Die wohl gängigsten Vorgänge auf Websites, die dazu führen, dass eine Datenschutzerklärung erforderlich wird, sind die folgenden:

Kontaktformular

Bei der Einbindung eines Kontaktformulars, welches Name, Telefonnummer oder die E-Mail-Adresse des Kontaktsuchenden erfasst, werden bereits personenbezogene Daten erhoben und verarbeitet.

Tools, Plug-Ins & Cookies

Bei der Erstellung der Website werden regelmäßig verschiedene Tools & Plugins genutzt, um die Website mit bestimmten Funktionen zu versehen oder um das Nutzerverhalten der Websitebesucher zu analysieren. Viele dieser Tools & Plugins setzen Cookies und transferieren personenbezogene Daten. Insbesondere bekannte Analysetools wie Google-Analytics dienen lediglich zur Sammlung und Auswertung entsprechender Daten. Welche Cookies im Hintergrund gesetzt werden, kann nur durch eine technische Überprüfung der Website herausgearbeitet werden und ist durch die normale Oberflächenbedingung der Website nicht ersichtlich. Wird die Website mittels der Einbindung solcher Tools & Plugins erstellt, muss auch hier in der Datenschutzerklärung genau dargelegt werden, welche Daten zu welchem Zweck von welchem Tool erfasst und verarbeitet werden.

Newsletter

Auch beim Angebot eines Newsletters, welcher durch die Preisgabe der E-Mail-Adresse und des Vor- und Nachnamens versandt werden kann, wird die Erstellung einer Datenschutzerklärung erforderlich.

E-Commerce / Online-Shops

Nicht hinwegzudenken ist die Datenschutzerklärung bei Online-Shops, die zur Abwicklung des Verkaufsprozesses Name, Anschrift und Zahlungsdaten erfassen müssen. Die Vertragsabwicklung ist schließlich auch ein Verarbeitungsprozess.

Registrierung, Benutzerkonten und Kommentarfunktionen

Bei der Möglichkeit sich zu registrieren, ein Benutzerkonto anzulegen und möglicherweise auch Kommentare zu verfassen und zu veröffentlichen, muss der Nutzer in einer veröffentlichten Datenschutzerklärung nachvollziehen können, welche personenbezogenen Daten von ihm zu welchem Zweck erhoben werden.

Datenschutzerklärung individuell oder per Generator erstellen?

Bei näherer Betrachtung wird schnell deutlich, dass beinahe jede Website ein oder mehrere Kriterien zum Erfordernis einer Datenschutzerklärung erfüllt. Die Folgefrage ist, auf welche Art und Weise eine rechtssichere Datenschutzerklärung erstellt wird. Die Erstellung der Datenschutzerklärung sollte in jedem Fall mit großer Sorgfalt und Bedacht erfolgen, um den gesetzlich vorgeschriebenen Anforderungen zu genügen. Es bedarf neben dem rechtlichen auch ein gewisses technisches Verständnis zur korrekten Erfassung und Vorbereitung der Datenschutzerklärung.

Zur Erstellung der Datenschutzerklärung müssen alle personenbezogenen Daten, die auf der Website erfasst und verarbeitet werden, vollständig identifiziert werden. Es muss jeweils die Zuordnung zu einem gesetzlich vorgesehenen Zweck zur Datenerfassung und -verarbeitung erfolgen. Folglich muss sodann klar kategorisiert werden, ob Daten an Dritte weitergegeben werden, beispielsweise an Hosting-Provider oder Zahlungsdienstleister. Sodann bedarf es einer gewissen Struktur, die die erforderlichen Elemente in üblicher Reihenfolge benennt und erläutert.

Für die meisten Betreiber von Websites stellt sich die Frage, ob sie die Datenschutzerklärung über sogenannte Generatoren oder durch einen Rechtsanwalt oder eine Rechtsanwältin erstellen lassen.

Datenschutzerklärung aus dem Generator

Ein Generator zur Erstellung von Datenschutzerklärungen für Websitebetreiber ist ein Online-Tool, dass die Betreiber dabei unterstützt, die Datenschutzerklärung „selbst“ zu erstellen. Der Generator stellt dem Websitebetreiber Fragen und lässt diese diversen Optionen zur Datenverarbeitung auf seiner Website auswählen. Hier muss der Websitebetreiber beispielsweise angeben, welche Daten zu welchem Zweck verarbeitet werden und ob Cookies gesetzt werden. Als Resultat erstellte der Generator einen Text, der als Datenschutzerklärung verwendet werden können soll. Die durch den Generator „ausgespuckte“ Datenschutzerklärung kann sodann häufig noch von dem Websitebetreiber durch spezifische Klauseln ergänzt und weiter angepasst werden.

Individuelle Datenschutzerklärung

Bei der Erstellung einer Datenschutzerklärung für eine Website durch einen Rechtsanwalt oder eine Rechtsanwältin erfolgt im Optimalfall eine tiefgehende rechtliche und technische Überprüfung der maßgeblichen Website hinsichtlich der korrekten Erfassung und Verarbeitung personenbezogener Daten. Über den Leistungsumfang sollte der Website-Betreiber sich hier genau aufklären lassen. Hier wird zunächst die Benutzeroberfläche und die Funktionen der Website und der jeweiligen Unterseiten hinsichtlich der Datenschutzkonformität überprüft.  Die installierten Tools & Plugins werden hinsichtlich der Erfassung und Verarbeitung personenbezogener Daten genaustens analysiert. Außerdem kann der Experte/die Expertin die optische Darstellung des Cookie-Consent-Tools gleich dahingehend mitüberprüfen, ob die manuelle Anpassung der einzelnen Buttons, die Auswahlmöglichkeiten, die erforderlichen Verlinkungen der Rechtstexte und die Aufschlüsselung der verwendeten Tools & Plugins hier gesetzeskonform erfolgt ist. Daneben sollte immer auch eine technische Überprüfung stattfinden, damit sichergestellt ist, dass die im Hintergrund gesetzten Cookies, die personenbezogene Daten transferieren, mit der im Cookie-Consent-Tool getroffenen Auswahl übereinstimmen und um sicherzustellen, dass in der Datenschutzerklärung jeglicher Datentransfer erfasst wird.

Auf diese Weise kann sichergestellt werden, dass die Datenschutzerklärung das tatsächliche Spiegelbild des Datentransfers auf der Website darstellt.

Basierend auf dieser vollumfänglichen Überprüfung kann der Rechtsanwalt oder die Rechtsanwältin sodann eine individuelle und auf die Website zugeschnittene rechtssichere Datenschutzerklärung erstellen.

Vor- und Nachteile

Vorteilhaft bei der Erstellung der Datenschutzerklärung durch einen Generator ist sicherlich, dass dies zunächst kostengünstiger ist, als die Erstellung durch einen Rechtsanwalt oder eine Rechtsanwältin. Hinzukommend ist die Verwendung und Erstellung der Datenschutzerklärung per Generater jederzeit möglich und das Resultat ist somit zeitlich sehr schnell verfügbar.

Es besteht jedoch die Gefahr der fehlenden Individualität, da die Generatoren sich allgemeiner Muster bedienen und diese in aller Regel nur unzureichend an die konkreten Datenverarbeitungsprozesse der in Frage stehenden Website anpassen. Problematisch ist hierbei auch, dass Generatoren oft nicht am Puls der Zeit sind und die stetige und dynamische Entwicklung der Gesetzgebung und Rechtsprechung im Datenschutz wohlmöglich nicht hinreichend berücksichtigen können, so dass die Gefahr besteht, dass die generierte Datenschutzerklärung von Beginn an nicht rechtssicher ist.

Fehlerhafte oder unvollständige Datenschutzerklärungen können abgemahnt und mit Bußgeldern belegt werden, die in ihrer Höhe schnell tausende von Euros übersteigen. Fehler entstehen bei der Erstellung per Generator insbesondere durch die unvollständige Erfassung der erhobenen personenbezogenen Daten und die unvollständige, falsche oder rechtlich nicht aktuelle weitere Einordnung der Datenverarbeitungsprozesse sowohl durch den agierenden Website-Betreiber, als auch durch den Generator.

Bei der Erstellung der Datenschutzerklärung durch einen Rechtsanwalt oder eine Rechtsanwältin ist sicherlich mit vergleichsweise höheren Kosten zu rechnen als bei der Erstellung durch einen Generator und die Bearbeitungsdauer wird länger andauern.

Der Erstellung der individuellen Datenschutzerklärung geht sodann jedoch eine individuelle Überprüfung verschiedener Ebenen der Website vorweg, die dazu dient, jegliche Erfassung und Verarbeitung von personenbezogenen Daten zu identifizieren und entsprechend aufzunehmen. Die rechtlich korrekte Einordnung kann sich dann an der aktuellen Gesetzgebung und Rechtsprechung orientieren und für spezifische Fragen rechtssichere Lösungen finden.

Fazit und Empfehlung

Die Abmahnung und der Erhalt von Bußgeldern wegen Verstößen gegen die DSGVO und weitere geltende Gesetze und Rechtsprechung im Datenschutzrecht ist eine reale und alltägliche Gefahr, der sich insbesondere Unternehmen und Selbstständige bewusst sein sollten. Vor allem in der Gründungsphase schmerzen Bußgelder der Datenschutzbehörden oft sehr.

Bei der Datenschutzerstellung per Generator kommt es hinsichtlich eines rechtssicheren Ergebnisses maßgeblich darauf an, dass der Website-Betreiber selbst die entsprechende rechtliche und technische Expertise vorweist, um beurteilen zu können, dass die resultierende Datenschutzerklärung korrekt, vollständig und abmahnsicher ist. Eine externe vollumfängliche und individuelle Überprüfung durch einen Experten oder eine Expertin findet durch den Generator nicht statt.

Eine durch einen Rechtsanwalt oder eine Rechtsanwältin erstellte Datenschutzerklärung sollte auf einer vollumfänglichen rechtlichen und technischen Überprüfung basieren und die aktuelle Gesetzeslage berücksichtigen. Da das Resultat der Beauftragung eines rechtlichen Experten oder einer rechtlichen Expertin auf dem Gebiet des Datenschutzes dann eine rechtssichere und individuelle Datenschutzerklärung ist, empfehlen wir ganz klar hier die zu Beginn entstehenden höheren Kosten in Kauf zu nehmen und somit aber gleichzeitig die Sicherheit zu erwerben, dass keine unkalkulierbaren Abmahnungen und Bußgelder von Datenschutzbehörden folgen. Wenn sich Unternehmen und Selbstständige ihrer rechtlichen Verpflichtungen bewusst sind und ihren rechtlichen Beistand frühzeitig in den Prozess einbeziehen, können neben den entstehenden Kosten auch Bearbeitungszeiträume festgelegt und einkalkuliert werden.

Wenn du über die Erstellung einer individuellen Datenschutzerklärung nachdenkst, schreib uns und erzähle uns in einem kostenlosen Erstgespräch von deiner Website und Idee!