Sobald Deine Webseite online ist, verarbeitet sie personenbezogene Daten. Schon die IP-Adresse eines Besuchers zählt dazu, und spätestens ein Kontaktformular sammelt Namen und E-Mail-Adresse. Genau dafür verlangt die DSGVO eine Datenschutzerklärung, die ehrlich beschreibt, was auf Deiner Seite passiert.
Viele Selbständige kopieren irgendeinen Mustertext und hoffen, damit auf der sicheren Seite zu sein. Das Problem dabei ist, dass so ein Text fast nie zur eigenen Webseite passt. Dieser Beitrag gibt Dir eine Orientierung, welche Bausteine hineingehören und wo die häufigsten Lücken liegen.
Eine wichtige Einordnung vorweg, weil sie über allem steht. Das hier ist allgemeine Information aus der Praxis und ersetzt keine Rechtsberatung. Für Deinen konkreten Fall, gerade bei Online-Shops oder umfangreichem Tracking, gehört der Text von einem Anwalt oder einer spezialisierten Stelle geprüft.
Warum die Datenschutzerklärung Pflicht ist
Die DSGVO verlangt, dass Du Menschen transparent informierst, sobald Du ihre Daten verarbeitest. Auf einer Webseite passiert das praktisch immer, oft schon beim ersten Seitenaufruf durch den Server-Log. Eine fehlende oder offensichtlich unpassende Datenschutzerklärung ist deshalb ein echtes Risiko.
Konkret drohen Abmahnungen durch Mitbewerber oder spezialisierte Kanzleien, und im schlimmeren Fall Bußgelder der Aufsichtsbehörde. Für kleine Unternehmen ist die Abmahnung das realistischere Szenario, weil sie schnell und ohne Behörde funktioniert.
Die Datenschutzerklärung gehört übrigens eng zum Impressum, bleibt aber ein eigenes Dokument mit eigenem Zweck. Wie beide zusammenspielen und warum Du sie sauber trennst, habe ich in einem eigenen Beitrag zu den rechtlichen Pflichtseiten Deiner Webseite ausführlicher beschrieben.
Was wirklich rein muss
Eine brauchbare Datenschutzerklärung beschreibt konkret Deine eigene Webseite, statt allgemein das Gesetz nachzuerzählen. Drei Bereiche bilden den Kern, und an genau diesen scheitern die meisten kopierten Texte.
Der erste Bereich sind die verarbeiteten Daten selbst. Dazu gehört, welche Daten Du sammelst, zu welchem Zweck und auf welcher Rechtsgrundlage. Wichtig sind dabei vor allem:
- Server-Logfiles: IP-Adresse, Zeitpunkt und aufgerufene Seite, die Dein Hoster automatisch speichert.
- Kontaktformular: Name, E-Mail und Nachricht, dazu wie lange Du diese Anfragen aufbewahrst.
- Newsletter: E-Mail-Adresse und der Einwilligungsnachweis, falls Du einen Verteiler führst.
Der zweite Bereich sind die eingesetzten Tools und Dienste. Jeder externe Dienst, der Daten Deiner Besucher sieht, gehört benannt. Das betrifft Webfonts, Karten, Statistik-Werkzeuge und eingebettete Videos genauso wie Dein Hosting selbst.
Hier liegt die größte Lücke vieler Mustertexte. Sie listen Google Analytics auf, obwohl Du es gar nicht nutzt, und verschweigen die Schriftart, die Deine Seite live von einem fremden Server lädt. Wie heikel besonders extern geladene Schriften und Karten sind, zeigt der Beitrag zur Abmahngefahr bei Google Fonts und Maps.
Der dritte Bereich sind die Betroffenenrechte. Jede Person darf erfahren, welche Daten Du über sie gespeichert hast, und sie darf Berichtigung, Löschung oder einen Widerspruch verlangen. Diese Rechte musst Du benennen, samt einer Kontaktmöglichkeit, über die jemand sie geltend machen kann. Welche Daten Du dafür intern dokumentieren musst, hältst Du in dem Verarbeitungsverzeichnis (VVT) fest, das die DSGVO zusätzlich von Dir verlangt. Meldet sich tatsächlich jemand und will wissen, was Du gespeichert hast, helfen Dir die Fristen und Schritte im Beitrag dazu, richtig auf eine DSGVO-Auskunftsanfrage zu reagieren.
Generatoren mit Vorsicht nutzen
Datenschutz-Generatoren sind ein guter Startpunkt, vor allem die etablierten von Anwälten oder Branchenverbänden. Sie führen Dich durch eine Liste typischer Bausteine und ersparen Dir den Blankoblatt-Schreck. Verlassen solltest Du Dich auf das Ergebnis trotzdem nicht blind.
Ein Generator weiß nämlich nicht, was tatsächlich auf Deiner Seite läuft. Er fragt ab, was Du ankreuzst, und genau hier entstehen die Fehler. Wer ein Tracking-Tool vergisst anzukreuzen oder einen Dienst nicht kennt, bekommt einen Text mit Lücke, der korrekt aussieht.
Sinnvoll arbeitest Du in zwei Schritten. Zuerst trägst Du jeden externen Dienst zusammen, den Deine Seite einbindet, und prüfst das notfalls mit den Entwicklerwerkzeugen des Browsers oder gemeinsam mit Deiner Agentur. Danach füllst Du den Generator anhand dieser echten Liste aus, statt aus dem Gedächtnis.
Eng damit verbunden ist die Frage, welche Tools überhaupt eine Einwilligung brauchen und was rein technisch nötig ist. Den Unterschied zwischen Cookies, lokalem Speicher und Tracking erkläre ich im Beitrag zu Cookies, LocalStorage und Tracking.
Die Datenschutzerklärung aktuell halten
Eine Datenschutzerklärung ist kein Dokument, das Du einmal schreibst und dann vergisst. Sie beschreibt einen Zustand, und dieser Zustand ändert sich, sobald Du an Deiner Webseite etwas drehst.
Jeder neue Dienst verschiebt die Lage. Ein eingebundenes Buchungstool, ein Wechsel des Newsletter-Anbieters oder ein neues Karten-Plugin verarbeitet Daten, die im alten Text nicht stehen. Damit wird Deine Erklärung unvollständig, obwohl Du nie etwas Falsches geschrieben hast.
Hilfreich ist eine einfache Routine. Immer wenn Du etwas Neues auf der Seite einbaust, stellst Du Dir die Frage, ob dieser Baustein Besucherdaten berührt. Bei jeder Antwort mit Ja wandert ein Absatz in die Datenschutzerklärung, bevor die Änderung live geht. Einmal im Jahr lohnt zusätzlich ein vollständiger Durchgang durch den ganzen Text, damit auch stillgelegte Tools wieder herausfliegen.
Fazit
Eine gute Datenschutzerklärung beschreibt ehrlich Deine eigene Webseite und bleibt verständlich. Wenn Du verarbeitete Daten, eingesetzte Tools und die Rechte Deiner Besucher sauber abbildest und den Text bei jeder Änderung nachziehst, bist Du als Selbständiger gut aufgestellt.
Für die rechtlich heiklen Fälle, etwa einen Shop mit Zahlungsabwicklung oder umfangreiches Tracking, holst Du Dir am besten anwaltliche Prüfung dazu. Diesen einen Schritt kann Dir kein Generator und kein Ratgeber abnehmen.