Hilfestellungen zum Verfassen einer Datenschutzerklärung für Webseitenbetreiber

Hier finden Sie Ausführungen, die Ihnen eine Hilfestellung beim Abfassen einer der EU-Datenschutz-Grundverordnung (DS-GVO) konformen Datenschutzerklärung für Webseitenbetreiber bieten sollen. Die Ausführungen sind dabei nicht abschließend und umfassen nicht alle erforderlichen Elemente.

Die Forschungsstelle Recht des DFN an der Westfälischen Wilhelms-Universität Münster hat eine umfangreiche Musterdatenschutzerklärung entworfen. Den Formulierungsvorschlägen in dieser Musterdatenschutzerklärung kann sich der LfDI Rheinland-Pfalz in weiten Teilen anschließen. Nachfolgend finden Sie Hinweise, an welchen Punkten diese Musterdatenschutzerklärung nicht den Anforderungen des LfDI Rheinland-Pfalz entspricht.

Sie können sich bei der Formulierung Ihrer Datenschutzerklärung unter Beachtung der nachfolgenden Anmerkungen an diesem Mustertext orientieren. Bitte beachten Sie, dass es sich um einen Mustertext handelt, der an die Bedürfnisse und Elemente, die Sie beim Betrieb Ihrer Webseite verwenden, angepasst werden muss.

Anforderungen des LfDI, die vom Mustertext abweichen:

1. Rechtsgrundlage für die Speicherung von und den Zugriff auf Informationen in der Endeinrichtung (TTDSG, Cookies)

Der Mustertext deckt lediglich die Datenschutzerklärung im Hinblick auf die DS-GVO ab. Die Datenschutzerklärung im Hinblick auf das TTDSG (Inkrafttreten: 01.12.2021) fehlt gänzlich. Datenschutzvorschriften für Telekommunikations- und Telemediendienste sind nun im TTDSG gebündelt und nicht wie bisher im TKG und TMG zu finden. Folglich ist die Musterdatenschutzerklärung unter Punkt V. (Verwendung von Cookies) soweit sie sich auf das TMG – insbesondere auch §15 TMG – bezieht, veraltet.

Grundsätzlich sind zwei Einwilligungen und demnach zwei Datenschutzerklärungen notwendig. Eine betrifft die Speicherung von und den Zugriff auf Informationen in der Endeinrichtung nach § 25 Abs. 1 Satz 1 TTDSG (insb. Setzen und Auslesen von Cookies). Die andere betrifft die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Satz 1 lit. a DS-GVO (z.B. Profilbildung und Weiterverarbeitung). Nur in seltenen Fällen wird die Weiterverarbeitung von Nutzungsdaten nach Art. 6 Abs. 1 lit. f DS-GVO möglich sein. Dies kann nur dann der Fall sein, wenn auch nach § 25 Abs. 1 Satz 1 keine Einwilligung notwendig ist, also bei der Verarbeitung von Daten, die zum technischen Betrieb der Webseite zwingend erforderlich ist. Schließen sich beide Vorgänge aneinander an, ist eine Erteilung beider Einwilligungen durch dieselbe Handlung der Webseitenbesucher:innen (z.B. per Einwilligungsbanner) möglich. Voraussetzung hierfür ist, dass bereits an dieser Stelle über alle Zwecke der Datenverarbeitung informiert wird und eindeutig erkennbar ist, dass es sich um mehrere Einwilligungen handelt.

Auch die Datenschutzerklärung hinsichtlich § 25 Abs. 1 Satz 1 TTDSG muss 1. die Beschreibung und den Umfang der Datenverarbeitung, 2. die Rechtsgrundlage für die Datenverarbeitung (hier: § 25 Abs. 1 Satz 1 TTDSG), 3. den Zweck der Datenverarbeitung, 4. die Dauer der Speicherung und 5. die Widerspruchs- und Beseitigungsmöglichkeit beinhalten.

Die genauen Anforderungen entnehmen Sie unseren Ausführungen zum Thema Cookies & Cookie-Banner und der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien v 1. Dezember 2021 (OH Telemedien 2021); bei Letzterer unter Punkt III., 2.

 

2. Webseitenbetrieb durch öffentliche Stellen

Der Mustertext hat als Adressat Unternehmen im Blick. Daher sind nicht alle Textbausteine des Mustertextes für Behörden anwendbar.

Hinsichtlich des Speicherns und Auslesens von Informationen in und aus Endgeräten gilt auch für öffentliche Stellen § 25 Abs. 1 Satz 1 TTDSG.

Hinsichtlich der anschließenden Weiterverarbeitung von Informationen gelten Besonderheiten für Behörden. Behörden werden i.d.R. bei Ihrer Datenverarbeitung keine Daten zur Erfüllung vertraglicher oder vorvertraglicher Zwecke verarbeiten. Damit kann für die Datenverarbeitung i.d.R. auch nicht Art. 6 Abs. 1 Satz 1 lit. b DS-GVO als Rechtsgrundlage dienen. Außerdem können Behörden personenbezogene Daten nicht zur Wahrung von berechtigen Interessen verarbeiten. Als Rechtsgrundlage kommt daher Art. 6 Abs. 1 Satz 1 lit. f DS-GVO nicht in Betracht.

Öffentliche Stellen können Ihre Datenverarbeitung jedoch auf Art. 6 Abs. 1 Satz 1 lit. e und Abs. 3 Satz 1 lit. b DS-GVO i.V.m. § 3 LDSG stützen, wenn die Verarbeitung zur Wahrung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Bei den meisten öffentlichen Stellen ist als Annex zu ihren vom Gesetzgeber übertragen Aufgaben auch die Öffentlichkeitsarbeit als Aufgabe definiert. Mit der Erfüllung dieser Aufgabe geht in der heutigen Zeit der Betrieb einer Webseite einher. Jedoch werden nicht alle technischen Möglichkeiten, die eine Verarbeitung von personenbezogenen Daten erfordern, von dieser Aufgabenübertragung mitumfasst sein (z.B. der Einsatz von Tracking-Mechanismen).

Für alle über die Aufgabenzuweisung hinausgehende Verarbeitungsschritte benötigen öffentliche Stellen zwingend eine Einwilligung der betroffenen Person (Art. 6 Abs. 1 Satz 1 lit. a DS-GVO). Eine Einwilligung im Verhältnis zu Behörden ist allerdings nur insoweit möglich, wie die Freiwilligkeit nicht durch die Abhängigkeit von Verwaltungsleistungen ausgeschlossen ist.

Weitere Informationen