Dieser Artikel wurde grundlegend überarbeitet.

Oftmals fehlt dieser Text in Gänze. Fatal!
Denn auch wie beim Impressum ist es Pflicht eine Datenschutzerklärung abzugeben und gut erreichbar auf der Seite zu verlinken.

Update: Am 24.05.2016 ist die DSGVO in Kraft getreten und zum 25.05.2018 endete die Übergangsfrist. Seitdem muss sich jeder an die DSGVO halten. Verstöße können empfindlich geahndet werden.

Doch was ist das eigentlich – diese Datenschutzerklärung?
Und was muss da drin stehen?

Datenschutzerklärung – was ist das?

Mit der DSE (ich kürze das lange Wort hier und da ab) erklärt der Verantwortliche dem Betroffenen, welche Daten du wie und warum erhebst, wieso und wie lange du sie verarbeitest, auf welcher Grundlage du das tust und wie sich die betroffene Person dagegen wehren oder sogar darüber beschweren kann. Das Ganze ist natürlich so verfasst, dass es einfach zu verstehen ist und selbstverständlich sind die Informationen transparent.

Aaargh! Schon zig mal gelesen – aber was bedeutet das jetzt genau?

Dröseln wir diese Vorgaben mal Punkt für Punkt auf:
Die einzelnen Begriffe kannst du, bei Bedarf, in meinem Wörterbuch nachschlagen. Sollte dir dort eine Erklärung fehlen, dann teile mir das bitte einfach mit. So kann das Wörterbuch stetig wachsen.
Zunächst einmal:

Wann und wo brauche ich eine Datenschutzerklärung?

Kürzer zu beantworten wäre die Frage “Wann brauche ich keine Datenschutzerklärung?”

Nämlich dann nicht, wenn du z. B. einen privaten Blog betreibst. Aber obacht! Was du unter “privat” verstehst, ist meistens nicht dasselbe, was ein Richter unter diesem Begriff versteht.

Privat or not privat – that’s the question

Sobald du direkt oder indirekt Werbung machst (auf Dienstleistungen und/oder Produkte hinweisen), ist es sehr wahrscheinlich kein privater Blog mehr. Selbst dann, wenn du keinen Gegenwert dafür bekommst.
Eindeutiger wird es, sobald du auch nur einen einzigen Affilliate-Links oder Banner setzt. Denn sobald jemand über diesen Link einkauft, erhältst du dafür eine Provision. Oder wenn du redaktionelle Inhalte bereitstellst, die zur Meinungsbildung beitragen (sollen), könnte das Privileg für private Blogs ebenfalls entfallen.

Da das alles immer sehr schwammig formuliert ist und jeder Blog im Zweifelsfall individuell geprüft werden würde, gehst du besser davon aus, dass der Status “privat” eher nur durch einen Passwortschutz funktioniert.

Gegenbeispiel: Ein eindeutig privater Blog wäre, wenn du ausschließlich die Fotos deiner Katze für deine Familie und Freunde online stellst. Dabei aber kein gekauftes Spielzeug erkennbar oder gar genannt ist.

Wann werden überhaupt Daten erhoben?

Zum Beispiel bei jedem Einkauf, wenn du einen Shop betreibst – oder wie soll die Ware sonst zum Besteller kommen?

Du hast keinen Shop? OK. Nächstes Beispiel: Du versendest Newsletter und die Besucher können sich in den Verteiler eintragen um deine wertvollen Mails auch zu erhalten.

Oh. Kein Newsletter sagst du? Gut. Nächstes Beispiel: Immer wenn ein Kontaktformular ausgefüllt wird – schließlich möchte der Empfänger (also du) nicht nur die Nachricht als solche wissen, sondern auch wer sie geschickt hat.

Ach. Du hast auch kein Kontaktformular?
Warum eigentlich nicht? Das ist eine tolle Möglichkeit deinem Besucher die Kontaktaufnahme zu dir zu vereinfachen.

OK. Keinen Shop, keinen Newsletter, kein Kontaktformular. Super! Fein raus!

DENKSTE!

Daten, die automatisch erfasst werden

So ziemlich jeder Hoster bietet die Möglichkeit an, Statistiken einzusehen zu der gehosteten Webseite.
Wie viele Besucher waren da? Wiederkehrender oder neuer Besuche, etc ….
Also die allgemeine Datenerhebung.
Dazu gehört zum Beispiel, dass die IP-Adresse des Besuchers gespeichert wird – vollautomatisch um die Webseite überhaupt aufrufen zu können.
Vom Browser übermittelte Daten, wie zum Beispiel der verwendete Browsertyp und -version, die Spracheinstellung, das verwendete Betriebssystem, besuchte Webseiten,…

Auch gibt es Einstellungen in WordPress oder Plugins, die nachhause Telefonieren und entsprechend personenbezogene Daten an ihre Entwickler senden. Bei manchen ist das als Funktion auch von dir so gewollt, bei anderen hast du wahrscheinlich keinen blassen Schimmer, dass das überhaupt stattfindet.

Du siehst ein, mindestens diese Daten werden durch deine Webseite auf jeden Fall erhoben. Und darüber musst du deinen Besucher genauso informieren.

Was du nun tun musst?

Du musst laut Art. 13 DSGVO deine Besucher wahr und vollständig über die Datenerhebung und -nutzung informieren.
Du musst dies zu Beginn der Nutzung deiner Webseite machen, da dies schwierig ist reicht es jedoch es zeitgleich bei der Erhebung zu machen. Dafür musst du die Datenschutzerklärung jeder Zeit abrufbar machen. Am Besten verlinkst du deine Datenschutzerklärung neben dem Impressum. Schließlich muss dieses auch immer zugänglich und leicht zu finden sein.
Und weil das immer noch sehr häufig falsch gemacht wird:
Die Datenschutzerklärung gehört separat bereit gestellt, am Besten neben das Impressum – nicht in das Impressum!

Woher du eine vollständige Datenschutzerklärung herbekommst?

Es gibt im Netz diverse Datenschutzerklärungs-Generatoren. – Die eignen sich als Muster (zu mehr nicht – also dringend anpassen!), um ein Gefühl dafür zu bekommen, wie deine DSE aussehen könnte.

Es gibt Anwälte, die dir die DSE schreiben können.
Aber Achtung!! Der Anwalt kann die DSE nur so vollständig erstellen, wie du ihn mit Informationen fütterst! Und genau hier liegt der Knackpunkt!

Zertifizierte Datenschutzbeauftragte oder Datenschutzberater können dich ebenfalls unterstützen. Sie können dich auch dabei unterstützten herauszufinden, wo eventuell versteckte Datenverarbeitung stattfindet, also die, die nicht so offensichtlich ist. Denn auch diese muss in der Datenschutzerklärung aufgeführt werden!

Und was ist, wenn ich keine oder keine ausreichende Datenschutzerklärung habe?

Dann kann das echt doof werden. Jeder Betroffene (also Besucher, Kunde, Interessent) kann sich bei der Datenschutzaufsichtsbehörde beschweren. Und das tun sie!

Der 34. Tätigkeitsbericht des LfDI-BW gibt bekannt:

2016: 1208 Beschwerden im nichtöffentlichen Bereich (also gegenüber Unternehmen)
2018: 2714 Beschwerden im nichtöffentlichen Bereich

Quelle: LfDI-34.-Datenschutz-Tätigkeitsbericht-Internet.pdf

Wenn du Unterstützung suchst

Ich bin zertifizierte Datenschutzbeauftragte und ich kenne mich als Wpress-MechanikerIN auch sehr gut in der WordPress-Technik aus – und beides begeistert mich. Ja, doch – so Verrückte gibt’s 😉

Ich kann dich dabei unterstützen herauszufinden, welche Datenverarbeitungen in und mit deiner WordPress-Seite stattfinden, welche Plugins nachhause telefonieren und:
Ich kann dir bei der Erstellung deiner Datenschutzerklärung helfen.

Bei Interesse sprich mich einfach an!

 

Dieser Beitrag gehört zur Serie
“Datenschutzerklärung, was du unbedingt wissen solltest”

Teil 1: Datenschutzerklärung, was du unbedingt wissen solltest
Teil 2: Datenschutzerklärung, wo überall brauche ich eine?

Do NOT follow this link or you will be banned from the site!