Die Anforderungen an die Inhalte der Datenschutzerklärung sind hoch. Wichtig ist: Jegliche Verarbeitung personenbezogener Daten müssen explizit auf der Website beschrieben werden. Jeder Besucher muss transparent und ausführlich informiert werden. Außerdem muss die Datenschutzerklärung in allen Sprachen übersetzt und verfügbar sein, in denen die Inhalte der Website angeboten werden. Am Beispiel der Social-Media-Plattform TikTok sieht man, dass es nicht nicht ausreicht, die Datenschutzrichtlinien auf Englisch zur Verfügung zu stellen. TikTok ist verpflichtet, ihre Datenschutzerklärung in den Sprachen der Länder zu Verfügung zu stellen, in denen die Plattform zulässig ist.

In manchen Fällen sind weitere Infos, wie z. B. zuständige Aufsichtsbehörden, Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister, der inhaltlich Verantwortliche und die Umsatzsteuer- oder Wirtschafts-Identifikationsnummer, erforderlich. Wichtig: Der Besucher muss das Impressum innerhalb von 2 Klicks finden können.

Besucher können Sie am einfachsten über ein Kontaktformular erreichen. Da hierbei persönliche Daten übermittelt werden, muss dieses Formular unter allen Umständen datenschutzkonform sein. Dasselbe Prinzip gilt für andere Formulare, wie z. B. den Newsletter, die Registrierung, den Login oder den Checkout in einem Online-Shop.

Es gilt hier: Es dürfen nur Daten erhoben werden, die auch tatsächlich für den jeweiligen Zweck notwendig sind. Bei einem Kontaktformular müssen Pflichtfelder geprüft und eindeutig markiert werden und optionale zusätzliche Felder sind möglich.

Website-Besucher muss klar und deutlich in der Datenschutzerklärung darüber informiert werden, welche Angaben erhoben und wofür sie genau verwendet werden. Falls Sie mehrere Formulare auf der Website verwenden, müssen Sie unmissverständlich angeben, auf welches Formular sich die Erklärung bezieht. Am besten informieren Sie Ihre Besucher direkt unter dem Eingabefeld über den Zweck der Verarbeitung (inkl. Link zur Datenschutzerklärung) und fügen eine Checkbox hinzu, wo diese ihr Einverständnis geben können. Beachten Sie des Weiteren, dass die Daten aus dem Kontaktformular nur für den Zweck der Kontaktaufnahme genutzt werden dürfen. Diese Daten müssen nach der Übermittlung gelöscht werden. Auch liegt es in Ihrer Verantwortung, die sichere Übertragung der Daten zwischen Computer und Server sicherzustellen. Dafür ist ein SSL-Zertifikat erforderlich, worüber Sie im 4. Tipp mehr erfahren.

Personenbezogene Daten dürfen bei der Übertragung zwischen Computer und Server nicht von Unbefugten gelesen, kopiert, verändert oder gelöscht werden. Die Übertragung muss demnach verschlüsselt werden, z. B. mit einem SSL-Zertifikat („Secure-Sockets-Layer“), das für eine verschlüsselte Kommunikation zwischen Computer und Server sorgt.

Ein SSL-Zertifikat erkennen Sie am „https“ und einem Schloss-Symbol in der Adresszeile.

Falls es auf Ihrer Website eine Kommentarfunktion gibt, bei der personenbezogene Daten (z. B. E-Mail-Adresse) eingegeben werden müssen, muss diese Kommentarfunktion in der Datenschutzerklärung erwähnt werden. Beachten Sie, dass Sie die für die Kommentare angegebenen Daten nicht für andere Zwecke genutzt werden dürfen, als in der Datenschutzerklärung beschrieben. Auch hierbei ist für die sichere Übertragung ein SSL-Zertifikat notwendig.

Klären Sie Ihre Website-Besucher zudem mit einer Verlinkung auf die Datenschutzerklärung darüber auf, wie ihre Daten gespeichert und verwendet werden. Falls Sie den Datenschutz bei Ihrer Kommentarfunktion noch sicherer gestalten wollen, können Sie die Kommentare so einstellen, dass deren Inhalte vor der Veröffentlichung zunächst geprüft werden. Oder Namen können durch Abkürzungen oder Pseudonyme ersetzt werden.

Die Möglichkeit der Auswertung und Analyse der Besucher und deren Surfverhalten haben Sie mithilfe von Webtrackern wie Google Analytics. Dabei müssen Sie bedenken, dass die Daten an Dritte übermittelt werden. Achten Sie also auf Folgendes:

* IP-Adressen dürfen nur anonymisiert gespeichert werden.
* Erweiterung in der Datenschutzerklärung mit der Beschreibung, wie und zu welchem Zweck die Besucherdaten gespeichert werden, sowie die Angabe, an wen sie weitergegeben werden. Besuchern muss hier die Möglichkeit geboten werden, jederzeit widersprechen zu können („Opt-Out“-Funktion).
* Auftragsverarbeitungsvertrag ist bei einem Webtracker von Dritten erforderlich und muss an Google geschickt werden.

In manchen Fällen sind weitere Infos, wie z. B. zuständige Aufsichtsbehörden, Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister, der inhaltlich Verantwortliche und die Umsatzsteuer- oder Wirtschafts-Identifikationsnummer, erforderlich.

Mithilfe von Cookies wird das Verhalten der Nutzer erfasst und damit ein Nutzerprofil erstellt, um z. B. zielgerichtete Werbung zu schalten. Für die Verarbeitung ihrer Daten müssen Nutzer jedoch ihre aktiv zustimmen. Das geht über einen Cookie-Banner, das beim ersten Besuch auf der Website erscheint. Die Besucher entscheiden über das Setzen von Häkchen, welche Daten an Dritte weitergegeben werden dürfen. Eine neue Entscheidung des Europäischen Gerichtshofs (EuGH) hatte vor Kurzem entschieden, dass voreingestellte Häkchen hierbei nicht zulässig seien.

Empfänger Ihres Newsletters müssen dem Versand an ihre E-Mail-Adresse ausdrücklich zugestimmt haben. Der Besucher gibt dafür z. B. aktiv seine E-Mail-Adresse ein bzw. setzt das Häkchen bei einer entsprechenden Checkbox. Ein im Vorfeld automatisch gesetztes Häkchen beim Abschluss eines Kaufs oder Ausfüllen eines Kontaktformulars entspricht nicht den Anforderungen der DSGVO.

Sie als Website-Betreiber müssen hier immer eine Einwilligung nachweisen können. Auf Nummer sicher können Sie gehen, indem der Empfänger nach seiner Anmeldung eine E-Mail bekommt, in der er über einen Link die Anmeldung zum Newsletter bestätigen muss. Diese Bestätigung müssen Sie protokollieren.

Außerdem muss der Newsletter-Abonnent jederzeit die Möglichkeit haben, sich abmelden zu können. Diese Information muss bei der Anmeldung und in jedem Newsletter enthalten sein. Wird Ihr Newsletter über einen Dienstleister versendet, müssen Sie Ihre Newsletter-Empfänger darüber informieren und ein Auftragsverarbeitungsvertrag mit dem Dienstleister ist notwendig. Und auch hier muss die Datenschutzerklärung um einen entsprechenden Absatz ergänzt werden.

Um Ihre Website direkt mit Ihren Social Media Konten zu verknüpfen, bieten Plattformen wie Facebook, Twitter oder Instagram „Share“-Buttons an. Personenbezogene Daten des Besuchers werden ohne Anonymisierung direkt beim Aufruf der Website an den Anbieter übermittelt und genutzt, um Profile zu Werbezwecken zu generieren. Ihre Besucher haben der Übermittlung ihrer Daten zu dem Zeitpunkt aber noch nicht zugestimmt. Daher ist die Nutzung dieser Share-Buttons nicht DSGVO-konform, auch wenn dies klar und deutlich in Ihrer Datenschutzerklärung erwähnt wird.

Zwei Möglichkeiten:

2-Klick-Lösung:

Hier werden funktionslose Grafiken mit einem Link zu Ihren Social Media Profilen auf Ihrer Website eingebunden. Beim Klick auf die Grafik wird der Besucher über die Weitergabe seiner personenbezogenen Daten informiert und willigt dazu ein. Erst nach der Einwilligung wird er zur Social Media Plattform weitergeleitet.

Shariff-Lösung:

Hier wird der Besucher direkt in einem neuen Fenster weitergeleitet. Ab da informiert der jeweilige Anbieter über die Datenverarbeitung und es kommt zu keiner direkten Weitergabe personenbezogener Daten.

Falls Sie auf Ihrer Website zusätzliche Plugins und Add-ons nutzen, sollten Sie überprüfen, ob hierbei personenbezogene Daten verarbeitet und weitergegeben werden. Bei einer Datenweitergabe ist wieder einmal ein Auftragsverarbeitungsvertrag erforderlich und der Besucher muss in der Datenschutzerklärung über die Verwendung von Plugins/Add-ons informiert werden und über sein Widerspruchsrecht aufgeklärt werden.

Diese Verträge müssen mit allen Dritten geschlossen werden, an die personenbezogene Daten im Austausch für deren Dienstleistungen weitergegeben werden. Kernbestandteile sind Gegenstand und Dauer der Vereinbarung, Art und Zweck der Verarbeitung personenbezogener Daten, die Rechte und Pflichten des Auftraggebers, die Pflichten des Auftragnehmers, die Dokumentations- und Mitwirkungspflichten sowie technische und organisatorische Maßnahmen.

Heutzutage reicht es also nicht mehr aus, eine datenschutzkonforme Website in Ihrem eigenen Land zu haben. Bei einer Expansion und Internationalisierung Ihrer Geschäfte ist es noch viel wichtiger, dass Sie sich über die länderübergreifenden und -spezifischen Regelungen informieren. Auf Nummer sicher gehen Sie in jedem Fall, wenn Sie Ihre Datenschutzerklärung, Auftragsverarbeitungsverträge und alle dazugehörigen Dokumente in die jeweilige Sprache übersetzen lassen. Damit gehen Sie den ersten Schritt, dass Sie alle Website-Besucher in ihrer Muttersprache über Ihre Datenerhebung und -verarbeitung, Tracking-Systeme und Datenweitergabe an Dritte verständlich informieren.