Braucht jede Website eine Datenschutzerklärung?

Ja, wenn Ihre Website personenbezogene Daten verarbeitet (was fast immer der Fall ist - Kontaktformulare, Analytics, Cookies). Die Datenschutzerklärung muss leicht auffindbar sein, typischerweise über einen Link im Footer.

Darf ich eine Datenschutzerklärung von einer anderen Website kopieren?

Das ist riskant. Wenn die Erklärung nicht zu dem passt, was Ihr Unternehmen tatsächlich tut, kann das bei einer Prüfung gegen Sie verwendet werden. Die Aufsichtsbehörde sieht dann ein Dokument, das nicht die Realität widerspiegelt.

Wie oft muss ich meine Datenschutzerklärung aktualisieren?

Nach jeder wesentlichen Änderung Ihrer Verarbeitungen: ein neues Tool, ein neuer Auftragsverarbeiter, ein neuer Zweck. Prüfen Sie mindestens jährlich, ob Ihre Erklärung noch aktuell ist.

Brauche ich eine separate Datenschutzerklärung für Mitarbeiter?

Ja, eine interne Datenschutzerklärung für Mitarbeiter ist von Ihrer Website-Datenschutzerklärung getrennt. Sie müssen Mitarbeiter darüber informieren, wie Sie deren personenbezogene Daten verarbeiten (Gehaltsabrechnung, Personalakten, Videoüberwachung, GPS-Tracking).

Datenschutzerklärung erstellen - Was muss sie enthalten? (DSGVO)

Ihre Datenschutzerklärung ist Pflicht und muss klar erläutern, welche personenbezogenen Daten Sie verarbeiten und warum. Dieser Artikel erklärt, was sie enthalten muss, mit einer konkreten Struktur.

Warum ist eine Datenschutzerklärung Pflicht?

Die DSGVO verlangt, dass Sie betroffene Personen darüber informieren, wie Sie deren personenbezogene Daten verarbeiten. Die Datenschutzerklärung ist das Mittel dafür.

Es geht nicht um ein juristisches Dokument, das niemand liest. Es geht darum, klar und ehrlich zu kommunizieren über:

Welche Daten Sie erheben
Warum Sie sie erheben
Was Sie damit machen
Wie lange Sie sie aufbewahren
Welche Rechte Betroffene haben

Was muss sie enthalten?

Die DSGVO (Artikel 13 und 14) schreibt genau vor, welche Informationen Sie bereitstellen müssen. Nachfolgend die Pflichtbestandteile:

1. Wer sind Sie?

Name und Kontaktdaten Ihrer Organisation (der Verantwortliche). Falls Sie einen Datenschutzbeauftragten (DSB) haben, auch dessen Kontaktdaten.

2. Welche Daten erheben Sie?

Seien Sie konkret. Nicht “persönliche Informationen”, sondern:

Name, E-Mail-Adresse, Telefonnummer (über Kontaktformular)
IP-Adresse, Browsertyp, besuchte Seiten (über Analytics)
Zahlungsdaten (über den Bestellprozess)
Mitarbeiterdaten (über HR-Prozesse)

3. Wofür verwenden Sie die Daten?

Pro Datenkategorie den Zweck angeben. Beispiele:

“Um Ihre Anfrage über das Kontaktformular zu beantworten”
“Um Ihre Bestellung zu bearbeiten und zu versenden”
“Um unsere Website anhand von Nutzungsstatistiken zu verbessern”
“Um unseren Newsletter zu versenden (nur mit Ihrer Einwilligung)“

4. Auf welcher Rechtsgrundlage verarbeiten Sie?

Die DSGVO kennt sechs Rechtsgrundlagen. Die am häufigsten genutzten für KMU:

Einwilligung (z.B. Newsletter, Marketing-Cookies)
Vertragsdurchführung (z.B. Bestellabwicklung)
Gesetzliche Verpflichtung (z.B. buchhalterische Aufbewahrungspflicht)
Berechtigtes Interesse (z.B. Sicherheit, Analytics)

5. Mit wem teilen Sie die Daten?

Alle Parteien, die Zugang zu den Daten haben:

Ihr Steuerberater
Ihr E-Mail-Marketing-Tool (Mailchimp, ActiveCampaign)
Ihr Hosting-Anbieter
Google Analytics (falls genutzt)
Zahlungsanbieter (Mollie, Stripe)

Geben Sie an, ob Daten außerhalb der EU verarbeitet werden.

6. Wie lange bewahren Sie die Daten auf?

Pro Datentyp die Aufbewahrungsdauer:

Kundendaten: Dauer der Geschäftsbeziehung + 2 Jahre
Rechnungsdaten: 7 Jahre (gesetzliche Aufbewahrungspflicht)
Kontaktformular: 2 Jahre nach letztem Kontakt
Analytics-Daten: maximal 26 Monate

7. Welche Rechte haben Betroffene?

Verweisen Sie auf die Rechte unter der DSGVO:

Recht auf Auskunft
Recht auf Berichtigung
Recht auf Löschung
Recht auf Einschränkung
Recht auf Datenübertragbarkeit
Widerspruchsrecht

Geben Sie an, wie Betroffene diese Rechte ausüben können (E-Mail-Adresse, Kontaktformular) und dass sie eine Beschwerde bei der Aufsichtsbehörde einreichen können.

8. Cookies

Wenn Ihre Website Cookies setzt, beschreiben Sie welche Cookies, zu welchem Zweck und wie Besucher ihre Einwilligung widerrufen können. Dies kann in der Datenschutzerklärung selbst oder in einer separaten Cookie-Richtlinie erfolgen.

Häufige Fehler

Aus dem Internet kopiert ohne Anpassung an die eigene Situation - eine generische Erklärung, die nicht zum Unternehmen passt, ist schlimmer als keine Erklärung
Juristischer Fachjargon, den niemand versteht - schreiben Sie in der Sprache Ihrer Zielgruppe
Veraltet, weil Sie ein neues Tool eingeführt, aber die Erklärung nicht aktualisiert haben
Schwer auffindbar auf Ihrer Website - platzieren Sie einen Link im Footer jeder Seite
Keine separate Erklärung für Mitarbeiter - Ihre Beschäftigten haben dasselbe Recht auf Information wie Ihre Kunden

Checkliste

Ihre Erklärung nennt Ihren Firmennamen und Kontaktdaten
Sie beschreiben konkret, welche Daten Sie erheben und wofür
Sie nennen die Rechtsgrundlage pro Verarbeitung
Sie listen alle Parteien auf, mit denen Sie Daten teilen
Sie beschreiben die Aufbewahrungsfristen
Sie informieren Betroffene über ihre Rechte
Sie geben an, wie Betroffene Kontakt aufnehmen können
Sie erwähnen das Recht auf Beschwerde bei der Aufsichtsbehörde
Die Erklärung ist in klarer, verständlicher Sprache verfasst
Die Erklärung ist leicht auf Ihrer Website auffindbar (Link im Footer)

auto_awesome Datenschutzerklärung automatisch generieren lassen?

GDPRWise scannt Ihre Website, erkennt welche Daten Sie verarbeiten und mit wem Sie sie teilen, und generiert automatisch eine Datenschutzerklärung, die zu Ihrer Situation passt.

Kostenlosen Scan starten

Datenschutzerklärung erstellen: Was muss sie enthalten?