DSGVO Muster Datenschutzerklärung 2018

Veröffentlicht am 2. Mai 2018 von Maximilian Greger | Datenschutz | 32 Kommentare

Muster Datenschutzerklärung DSGVO 2018Die Zeit bis zum Inkrafttreten der EU-DSGVO (Geltung ab 25.5.2018) ist nicht mehr lang. Sie sollten daher – soweit nicht schon geschehen – dringend die Datenschutzerklärung auf Ihrer Website aktualisieren. Die DSGVO erfordert vor allem weitreichendere Hinweise auf die Rechte des Betroffenen und die jeweilige Rechtsgrundlage für die Datenverarbeitung(en).

Anbei können Sie kostenlos mein Muster für eine Datenschutzerklärung zu Ihrer freien Verwendung herunterladen (d. h. Sie müssen mich nicht als Verfasser nennen und können den Text nach belieben nutzen / verändern / bearbeiten etc.). Mein Muster erfüllt die Anforderungen an eine Datenschutzerklärung für „Standard“-Websites einschließlich Google Analytics. Für Shop-Systeme oder spezielle Add-Ons muss die Datenschutzerklärung noch erweitert werden. Gängige Add-Ons sind:

  • Google AdWords
  • Google Fonts
  • DoubleClick
  • Smartlook
  • Google Tag Manager
  • Social Media Buttons
  • MailChimp etc.

Bitte haben Sie Verständnis, dass dieses Muster keine Garantie auf inhaltliche oder rechtliche Richtigkeit gibt. Vergessen Sie bitte auch nicht, Verträge über Auftragsverarbeitung mit Host Provider, Google etc. abzuschließen.


Beitrags-Foto: © Zerbor – Fotolia.com

Maximilian Greger ist Partner und Fachanwalt für Urheber- und Medienrecht bei SNP Schlawien in München. Er berät vorwiegend mittelständische Unternehmen und Startups im Marken-, Wettbewerbs-, Online- und Datenschutzrecht.

IPticker abonnieren!

32 Gedanken zu "DSGVO Muster Datenschutzerklärung 2018"

Hallo,
eine Frage:
was ist wenn in meiner Datenschutzerklärung Punkte wie z.B. Google Analytics (wie auch andere z.B. Cookies – die eventuell von Joomla gesetzt werden) stehen ? ich sie aber nicht nutze.
Für eine Rückmeldung wäre ich dankbar. Michael WInkler

Hallo Herr Winkler,
die Literatur entnimmt Art. 12 DSGVO das Genauigkeitsgebot und das Verständlichkeitsgebot. Es wäre also unpräzise, wenn die DSE „zuviel“ Angaben enthält. Auf der anderen Seite ist das aber besser, als wenn Informationen fehlen. Ich glaube daher nicht, dass man aufgrund eines Tools, das man gar nicht verwendet, ernsthaft Probleme bekommt (bitte nehmen Sie mich im Ernstfall aber nicht beim Wort, denn solche Fragen wurden meines Wissens noch nie von einer Behörde oder von einem Gericht entschieden).

BG Maximilian Greger

Guten Tag.

Darf Ihre Datenschutzverordnung kostenlos und ohne Nennung des Verfassers genutzt werden?

Vielen Dank vorab für Ihre Info.

Mit freundlichen Grüßen Andre Hoffmann

Selbstverständlich, so hatte ich es gedacht. Beste Grüße, Maximilian Greger

Hallo Herr Greger,
super Service von Ihnen.
Ich möchte mich schon jetzt für Ihre DSGVO Beiträge bedanken.
Bieten Sie eigentlich auch einen Impressum-Generator an?
Kritik muss ich allerdings üben an Ihrem „Ich bin kein Roboter“-Tool.
Ich habe selten so etwas nerviges anklicken müssen mit Straßen, Schildern, Bussen etc. wie hier.
Da gibt es wesentlich benutzerfreundlichere Tools.
Liebe Grüße
Ingrid

Hallo Ingrid, danke für die ehrliche Kritik. Bei 50 Spammails pro Tag war es erst mal wichtig, schnell Abhilfe zu schaffen. Diese Bilder-Abfrage erscheint mWn nicht immer. BG Maximilian Greger

Kompliment, dass Sie ein Muster einer (Standard) Datenschutzerklärung unentgeltlich zur Verfügung stellen. Leider gibt es ja genügend Rechtsanwälte, die Abmahnungen als ertragreiche Einnahmequelle für sich entdeckt haben, und davor gilt es sich zu schützen. Danke, dass Sie dabei Hilfe leisten.
Ich fühle mich mit dem Thema völlig überfordert und habe Ihre Vorlage (ohne GoogleAnalytics) auf meiner Website einpflegen lassen. Kurze Frage habe ich noch zu Artikel 2.1 Zugriffsdaten. Sind die dort aufgeführten Punkte Standarderhebungen und Verarbeitungen, die der Provider (in meinem Falle STRATO) grundsätzlich vornimmt? Mir ist nicht bekannt, dass ich persönlich irgendwelche dieser erwähnten Daten erhalte, speichere oder verarbeite.

Hallo Herr Göbbels, normalerweise sind die Zugriffsdaten in Form von Log-Dateien nach einem festen Schema gespeichert und beinhalten die von mir genannten Daten. Wenn Sie ganz sicher gehen wollen, müssen Sie sich aber bei Ihrem Provider erkundigen.
Mit besten Grüßen,
Maximilian Greger

Vielen Dank für die Erklärung und v.a. auch dafür, dass Sie sie zur freien Verwendung geben.

Zwei Anmerkungen:
1) Inwieweit ist es sinnvoll, die Rechte ausformuliert und im Zweifel abweichend vom Gesetzeswortlaut in der Erklärung zu behalten? Bei Abweichungen vom Gesetzeswortlaut ist die Erklärung angreifbar und die gebotene und im Gesetz geforderte „Klarheit“ durch Wiederholung m.E. nicht erfüllt.
Mein Vorschlag wäre, stattdessen nur die Stichworte zu nennen mit einer salvatorischen Klausel ca. „Aus Gründen der Verständlichkeit dieser Datenschutzerklärung zitieren wir an dieser Stelle den vollständigen Wortlaut der DSGVO nicht. Im Zweifel ist das Gesetz maßgebend.“

2) Müsste man als deutscher Anbieter nicht wenigstens auch eine englische Version der Erklärung liefern? Die DSGVO gilt ja immer dort, wo sich der Kunde befindet. Dort besteht auch das Klagerecht.

Hallo Herr Bogenstätter,
ich denke, dass es darauf ankommt, die Erklärung so genau, aber auch so verständlich wie möglich zu formulieren. Ich tendiere daher zu einer Mischung aus Gesetzeswortlaut und eigenen (einfacheren) Formulierungen. Eine klare Vorgabe gibt es momentan aber noch nicht. Die von Ihnen vorgeschlagene „kurze“ Lösung ist zwar möglicherweise leichter lesbar, aber dann muss der Betroffene letztlich die DSGVO lesen, was wiederum nicht für jedermann verständlich ist. Derzeit ist beides möglich, letztlich entscheidet auch ein wenig das Bauchgefühl.

Eine englische Version halte ich bei einem rein deutschsprachigen Blog für nicht erforderlich – wir verfolgen mit dem law-blog schließlich nicht das Ziel, irgendwelche Waren oder Dienstleistungen außerhalb Deutschlands anzubieten.

BG Maximilian Greger

Sollte das Personalbüro auch entsprechende Schreiben an die Mitarbeiter erstellen – und müssen diese von den langjährigen Mitarbeitern aktuell nochmal bestätigt werden ? Wenn ja – welche Punkte sollten genau in diesem Schreiben aufgeführt sein bzw. gibt es spezielle Datenschutzklauseln (mit Stand 25.05.2018) die extra noch in Arbeitsverträge mit aufgenommen werden müssen ?

Hallo Frau Dumps,
allgemein: Ja, Sie sollten auch die Arbeitnehmer auf ihre Rechte und die Verarbeitung ihrer Daten hinweisen (Art. 12 ff. DSGVO). Möglicherweise finden Sie auch Vorlagen dazu im Netz. Konkret dazu dürfte ich Sie nur im Rahmen eines Mandats (natürlich nicht kostenlos) beraten.
Beste Grüße, M. Greger

Sehr geehrter Herr Greger,
vielen Dank für die kostenlos zur Verfügung gestellte Datenschutzerklärung.
Wenn ich einen Link zur Website eines Kunden „anklickbar“ einstellen möchte, muss ich dann in der Datenschutzerklärung dazu etwas einfügen?
Danke im Voraus und
viele Grüße
Kerstin

Hallo Kerstin,
aus meiner Sicht nein, denn es werden von Ihnen keine Daten an den Verantwortlichen der Ziel-Website übermittelt.
Beste Grüße
M. Greger

Hallo Herr Greger,
mein Mann ist selbständiger Handwerker und ich habe im Laufe der Jahre bei Facebook und auch bei Google Business Websiten erstellt.
Muss ich dort auch diese Datenschutzerklärung einbinden?

Hallo,
ja das müssen Sie, weil Sich auch dort Daten verarbeiten. Man könnte z. B. auf eine Datenschutzerklärung verlinken. Ein Muster hat der Landesbeauftragte des Landes Rheinland-Pfalz ins Netz gestellt: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Muster_Datenschutzerklaerung_Facebook.pdf

BG M. Greger

Hallo Herr Greger,

die größte Datenkrake ist der Staat.
Steht etwas in der neuen VO darin, was
der Staat darf ?

Hallo Herr Ecksturm,
die DSGVO gilt auch für den Staat (also für öffentliche Stellen).

Beste Grüße, M. Greger

Vielen Dank für Ihr tolles Engagement! Noch dazu unentgeldlich! Unglaublich.
Was ist denn die Analytics-ID, auf die Sie sich beziehen in Ihrer Datenschutzerklärung und wie komme ich an die, die ich benötige?

Hallo Herr Dr. Hoffmann,
die Analytics-ID bekommen Sie im Analytics-Administrationsmenü von Google bzw. aus dem Quelltext Ihrer Seite (z. B. „UA-000000-2“) .. Suchen Sie mal nach „UA-„.
Beste Grüße,
M. Greger

Guten Tag Herr Greger,
ich bearbeite die Website eines Weinhandels und erstelle auch Newsletter, die an Kunden versendet werden, die ihre E-Mail-Adressen für diesen Service zur Verfügung stellten (entweder über eine double-opt-in-Eingabefunktion der Website oder ein schriftl. Formular im Ladengeschäft). Der Newsletter enthält einen Unsubscribe-Link zur Abmeldung inkl. Datenlöschung.
Müssen dennoch alle Kunden bzgl. Ihrer Zustimmung noch einmal abgefragt werden? Genügt es, im nächsten Newsletter dezidiert auf die Löschfunktion hinzuweisen?

Vielen Dank für das Muster der Datenschutzerklärung.
Gruß A. Kaminsky

Sehr geehrter Herr Kaminsky,
ganz allgemein: wenn die Adressaten bereits eingewilligt haben (per web-Formular oder über ein schriftliches Formular), genügt diese Einwilligung theoretisch. Allerdings gibt es verschiedene Meinungen darüber, ob diese Einwilligung auch künftig noch ausreicht (Stichwort: „informierte“ Einwilligung). Der NL-Adressat muss wissen, welche Art von Inhalt er wie oft erhält und v. a. dass seine Einwilligung jederzeit widerruflich ist. Wenn die vorhandenen Einwilligungen letztere Voraussetzungen bereits erfüllen benötigt man meiner Meinung nach keine erneute Einwilligung. Wenn man sich dagegen nicht ganz sicher ist, sollte man noch einmal eine informierte Einwilligung einholen. Zu empfehlen: eine Checkbox und eine kurze (2-3 Zeilen) Erläuterung der oben genannten Punkte. BG M. Greger

Hallo Herr Greger,
die DSGVO gilt auch für den Staat und die öffentlichen Stellen.
a) Zählen hierzu auch die Gerichte?
b) Inwieweit muß die DSGVO eingehalten werden, wenn Gerichtsakten an Privatpersonen (z.B. zwecks Gutachtenerstellung im gerichtlichen Auftrag) herausgegeben werden?

Für die Muster-Datenschutzerklärung gebührt Ihnen ein besonderes Lob. Danke.

Sehr geehrter Herr Greger,
vielen Dank, für die doch sehr verständliche Datenschutzerlärung. Ich bin bei meiner Webseite mit dem Google Routenplaner verlinkt. jetzt hat man mir mehrfach gesagt ich sollte das aufgrund der DSGVO besser löschen oder gibt es einen Passus für die Datenschutzerklärung?
M.f.G. Ina

Hallo Ina,
mein Muster enthält keinen Passus für den Google Routenplaner (meinen sie Maps?). Wenn Ihre Seite diesen Dienst nutzt, werden Sie die DSE wohl anpassen müssen.
Beste Grüße,
M. Greger

Guten Tag Herr Greger,
ich möchte gerne meine eigene Seite online stellen. Nun stellt sich mir die Frage, inwiefern das sinnvoll und notwendig ist die gesamte Datenschutzerklärung zu übernehmen. Meine einzigen Links zu anderen Seiten wären zum einen Seiten zu einer Software, welche ich mit erstellt habe, Social Media Links (Xing, LinkedIn & Instagram) sowie Links zu Blogs, die ich interessant finde.
Ich selbst werde keine Daten erheben, weder Google Analytics, keinen Newsletter, auch kein Kontaktformular noch werde ich Cookies verwenden. Es handelt sich hier um mein Portfolio mit Lebenslauf, Arbeiten etc. Es wird lediglich eine E-Mail Adresse angegeben werden.

Viele Grüße,
Janina B.

Hallo Frau Brosien,
meine DSE kann man sicher im Einzelfall noch „abspecken“ – es ist nur ein Beispiel, kein Muster, das man in jedem Fall 1:1 übernehmen kann.
Mit besten Grüßen
M. Greger

Lieber Herr Greger,

vielen Dank für diese wirklich sehr hilfreichen Tipps.

Leider funktioniert Ihr Javascript bzw. der Link, welcher Google Analytics deaktivieren soll, nicht.
Wir haben beide Codes auf der Datenschutz Seite hinterlegt und anschließend den Link-Code als Link eingebaut. Der Link hat zwar die Farbe eines Links, ist aber nicht klickbar.

Haben Sie hier vielleicht einen Tipp, woran das liegen kann?

Vielen Dank und herzliche Grüße

Lisa

Hier nochmal der Teil, auf welchen ich mich beziehe (erwähnt in Ihrer Muster-Vorlage unter Punkt Nummer 4):

Hinweis für den Verantwortlichen (gehört nicht in die Datenschutzerklärung!):
Das von Google angebotene Browser-Plugin zum Deaktivieren des Cookies funktioniert nicht auf mobilen
Endgeräten. Aber auch dort muss der Betroffene die Möglichkeit haben, die Erfassung seiner IP-Adresse zu
verhindern. Daher muss ein spezielles Javascript eingebunden werden mit folgendem Code (wobei die „xxxxxxx“
für die Analytics ID stehen):

var gaProperty = ‚UA-xxxxxxx-1‘;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) { window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true; }

Der Link wird dann in der Datenschutzerklärung an der gelb markierten Stelle wie folgt eingebunden (wobei der
Link-Text zwischen den „>“ und „<“ frei wählbar ist:
Google Analytics deaktivieren
Die anonymizeIP-Funktion wird um die Zeile
ga(’set‘, ‚anonymizeIp‘, true);
ergänzt, etwa wie folgt:

(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);
ga(‚create‘, ‚UA-XXXXXXXX-X‘, ‚auto‘);
ga(‚require‘, ‚displayfeatures‘);
ga(‚require‘, ‚linkid‘, ‚linkid.js‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚page

Hallo Lisa,
es ist schwierig für mich, zu sehen, ob bzw. weshalb ein Javascript bei Ihnen nicht funktioniert. Sehen Sie sich am besten zunächst in Ihrem Browser an, welche Cookies Ihre Seite speichert und schauen Sie, ob Ihre Seite ein Cookie namens „ga-disable-…“ setzt (das ist das optOut-Cookie). Ist es vorhanden, funktioniert das Skript.

Zusätzlich können Sie noch ein Hinweis-Popup einbinden, das dem Nutzer eine Meldung gibt, wenn das Skript erfolgreich ausgeführt wurde, nämlich wie folgt:

function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
alert('Google Analytics wurde deaktiviert!')
}

Beste Grüße
M. Greger

Noch eine kurze Berichtigung bezüglich meines vorherigen Kommentars: Der Link ist klickbar, aber es passiert einfach nichts, wenn man darauf klickt.

Hallo Herr Greger,
in einem anderen empfohlenen Datenschutz-Generator gibt es speziell einen Passus zur Datenverarbeitung von Klienten, Interesenten und Auftraggebern etc. zwecks Vertragserfüllung bei verschiedenen Dienstleistungen. In meinem Fall z.B. für therapeutische Leistungen und Coaching. Auch für meinen Mann, der als freiberuflicher Bau-Ingenieur (www.hgingenieure.de) tätig ist, ist diese Frage wichtig.
Brauchen wir da einen speziellen Passus? Gern würden wir Ihr Muster nutzen, sind uns aber unsicher, ob da dann etwas Wichtiges fehlt. Ich freue mich auf Antwort, beste Grüße, Babette und Helmuth Gläßer

Hallo Frau Gläßer,
in Ziffer 3.4 wird die Datenverarbeitung zur Erfüllung von Verträgen behandelt. Ziff. 3.8 thematisiert die Kontaktaufnahme zur Anbahnung von Verträgen. Für einfache Vertragsabschlüsse über die Website sollte das genügen. Wie es in Ihrem Einzelfall ist, darf ich hier aber nicht thematisieren, das wäre Rechtsberatung, die natürlich nicht umsonst ist.
Mit besten Grüßen
M. Greger