DSGVO Muster Datenschutzerklärung 2021
Wozu eine Datenschutzerklärung?
Ganz egal, auf welchem Medium Sie im Internet Inhalte bereitstellen: Sie benötigen unbedingt eine Datenschutzerklärung. Denn diese Hinweise sind nach Art. 12 ff. DSGVO absolut zwingend.
Was Sie in diesem Zusammenhang der betroffenen Person, deren Daten Sie verarbeiten, mitteilen müssen:
- Wer sind Sie als Verantwortliche(r)?
- Welche Daten verarbeiten sie von der jeweils betroffenen Person?
- Welchem Zweck dient die jeweilige Datenverarbeitung?
- Auf welche Rechtsgrundlage stützen Sie die jeweilige Datenverarbeitung?
- Wie lange bewahren Sie die jeweiligen personenbezogenen Daten auf?
- Welche Rechte hat die betroffene Person?
All diese Dinge finden Sie in meinem Muster für die typischen Anwendungsfälle im Internet (Website, Social-Media-Kanal).
Wenn noch ein Online-Shop hinzukommt, treten natürlich weitere Verarbeitungsvorgänge hinzu, die Sie entweder selbst oder mit externer Hilfe ergänzen müssen.
Mit meiner Muster-Datenschutz haben Sie jedenfalls eine hervorragende Grundlage!
40 Gedanken zu "DSGVO Muster Datenschutzerklärung 2021"
Hallo,
eine Frage:
was ist wenn in meiner Datenschutzerklärung Punkte wie z.B. Google Analytics (wie auch andere z.B. Cookies – die eventuell von Joomla gesetzt werden) stehen ? ich sie aber nicht nutze.
Für eine Rückmeldung wäre ich dankbar. Michael WInkler
Hallo Herr Winkler,
die Literatur entnimmt Art. 12 DSGVO das Genauigkeitsgebot und das Verständlichkeitsgebot. Es wäre also unpräzise, wenn die DSE „zuviel“ Angaben enthält. Auf der anderen Seite ist das aber besser, als wenn Informationen fehlen. Ich glaube daher nicht, dass man aufgrund eines Tools, das man gar nicht verwendet, ernsthaft Probleme bekommt (bitte nehmen Sie mich im Ernstfall aber nicht beim Wort, denn solche Fragen wurden meines Wissens noch nie von einer Behörde oder von einem Gericht entschieden).
BG Maximilian Greger
Guten Tag.
Darf Ihre Datenschutzverordnung kostenlos und ohne Nennung des Verfassers genutzt werden?
Vielen Dank vorab für Ihre Info.
Mit freundlichen Grüßen Andre Hoffmann
Selbstverständlich, so hatte ich es gedacht. Beste Grüße, Maximilian Greger
Hallo Herr Greger,
super Service von Ihnen.
Ich möchte mich schon jetzt für Ihre DSGVO Beiträge bedanken.
Bieten Sie eigentlich auch einen Impressum-Generator an?
Kritik muss ich allerdings üben an Ihrem „Ich bin kein Roboter“-Tool.
Ich habe selten so etwas nerviges anklicken müssen mit Straßen, Schildern, Bussen etc. wie hier.
Da gibt es wesentlich benutzerfreundlichere Tools.
Liebe Grüße
Ingrid
Hallo Ingrid, danke für die ehrliche Kritik. Bei 50 Spammails pro Tag war es erst mal wichtig, schnell Abhilfe zu schaffen. Diese Bilder-Abfrage erscheint mWn nicht immer. BG Maximilian Greger
Kompliment, dass Sie ein Muster einer (Standard) Datenschutzerklärung unentgeltlich zur Verfügung stellen. Leider gibt es ja genügend Rechtsanwälte, die Abmahnungen als ertragreiche Einnahmequelle für sich entdeckt haben, und davor gilt es sich zu schützen. Danke, dass Sie dabei Hilfe leisten.
Ich fühle mich mit dem Thema völlig überfordert und habe Ihre Vorlage (ohne GoogleAnalytics) auf meiner Website einpflegen lassen. Kurze Frage habe ich noch zu Artikel 2.1 Zugriffsdaten. Sind die dort aufgeführten Punkte Standarderhebungen und Verarbeitungen, die der Provider (in meinem Falle STRATO) grundsätzlich vornimmt? Mir ist nicht bekannt, dass ich persönlich irgendwelche dieser erwähnten Daten erhalte, speichere oder verarbeite.
Hallo Herr Göbbels, normalerweise sind die Zugriffsdaten in Form von Log-Dateien nach einem festen Schema gespeichert und beinhalten die von mir genannten Daten. Wenn Sie ganz sicher gehen wollen, müssen Sie sich aber bei Ihrem Provider erkundigen.
Mit besten Grüßen,
Maximilian Greger
Vielen Dank für die Erklärung und v.a. auch dafür, dass Sie sie zur freien Verwendung geben.
Zwei Anmerkungen:
1) Inwieweit ist es sinnvoll, die Rechte ausformuliert und im Zweifel abweichend vom Gesetzeswortlaut in der Erklärung zu behalten? Bei Abweichungen vom Gesetzeswortlaut ist die Erklärung angreifbar und die gebotene und im Gesetz geforderte „Klarheit“ durch Wiederholung m.E. nicht erfüllt.
Mein Vorschlag wäre, stattdessen nur die Stichworte zu nennen mit einer salvatorischen Klausel ca. „Aus Gründen der Verständlichkeit dieser Datenschutzerklärung zitieren wir an dieser Stelle den vollständigen Wortlaut der DSGVO nicht. Im Zweifel ist das Gesetz maßgebend.“
2) Müsste man als deutscher Anbieter nicht wenigstens auch eine englische Version der Erklärung liefern? Die DSGVO gilt ja immer dort, wo sich der Kunde befindet. Dort besteht auch das Klagerecht.
Hallo Herr Bogenstätter,
ich denke, dass es darauf ankommt, die Erklärung so genau, aber auch so verständlich wie möglich zu formulieren. Ich tendiere daher zu einer Mischung aus Gesetzeswortlaut und eigenen (einfacheren) Formulierungen. Eine klare Vorgabe gibt es momentan aber noch nicht. Die von Ihnen vorgeschlagene „kurze“ Lösung ist zwar möglicherweise leichter lesbar, aber dann muss der Betroffene letztlich die DSGVO lesen, was wiederum nicht für jedermann verständlich ist. Derzeit ist beides möglich, letztlich entscheidet auch ein wenig das Bauchgefühl.
Eine englische Version halte ich bei einem rein deutschsprachigen Blog für nicht erforderlich – wir verfolgen mit dem law-blog schließlich nicht das Ziel, irgendwelche Waren oder Dienstleistungen außerhalb Deutschlands anzubieten.
BG Maximilian Greger
Sollte das Personalbüro auch entsprechende Schreiben an die Mitarbeiter erstellen – und müssen diese von den langjährigen Mitarbeitern aktuell nochmal bestätigt werden ? Wenn ja – welche Punkte sollten genau in diesem Schreiben aufgeführt sein bzw. gibt es spezielle Datenschutzklauseln (mit Stand 25.05.2018) die extra noch in Arbeitsverträge mit aufgenommen werden müssen ?
Hallo Frau Dumps,
allgemein: Ja, Sie sollten auch die Arbeitnehmer auf ihre Rechte und die Verarbeitung ihrer Daten hinweisen (Art. 12 ff. DSGVO). Möglicherweise finden Sie auch Vorlagen dazu im Netz. Konkret dazu dürfte ich Sie nur im Rahmen eines Mandats (natürlich nicht kostenlos) beraten.
Beste Grüße, M. Greger
Sehr geehrter Herr Greger,
vielen Dank für die kostenlos zur Verfügung gestellte Datenschutzerklärung.
Wenn ich einen Link zur Website eines Kunden „anklickbar“ einstellen möchte, muss ich dann in der Datenschutzerklärung dazu etwas einfügen?
Danke im Voraus und
viele Grüße
Kerstin
Hallo Kerstin,
aus meiner Sicht nein, denn es werden von Ihnen keine Daten an den Verantwortlichen der Ziel-Website übermittelt.
Beste Grüße
M. Greger
Hallo Herr Greger,
mein Mann ist selbständiger Handwerker und ich habe im Laufe der Jahre bei Facebook und auch bei Google Business Websiten erstellt.
Muss ich dort auch diese Datenschutzerklärung einbinden?
Hallo,
ja das müssen Sie, weil Sich auch dort Daten verarbeiten. Man könnte z. B. auf eine Datenschutzerklärung verlinken. Ein Muster hat der Landesbeauftragte des Landes Rheinland-Pfalz ins Netz gestellt: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Muster_Datenschutzerklaerung_Facebook.pdf
BG M. Greger
Hallo Herr Greger,
die größte Datenkrake ist der Staat.
Steht etwas in der neuen VO darin, was
der Staat darf ?
Hallo Herr Ecksturm,
die DSGVO gilt auch für den Staat (also für öffentliche Stellen).
Beste Grüße, M. Greger
Vielen Dank für Ihr tolles Engagement! Noch dazu unentgeldlich! Unglaublich.
Was ist denn die Analytics-ID, auf die Sie sich beziehen in Ihrer Datenschutzerklärung und wie komme ich an die, die ich benötige?
Hallo Herr Dr. Hoffmann,
die Analytics-ID bekommen Sie im Analytics-Administrationsmenü von Google bzw. aus dem Quelltext Ihrer Seite (z. B. „UA-000000-2“) .. Suchen Sie mal nach „UA-„.
Beste Grüße,
M. Greger
Guten Tag Herr Greger,
ich bearbeite die Website eines Weinhandels und erstelle auch Newsletter, die an Kunden versendet werden, die ihre E-Mail-Adressen für diesen Service zur Verfügung stellten (entweder über eine double-opt-in-Eingabefunktion der Website oder ein schriftl. Formular im Ladengeschäft). Der Newsletter enthält einen Unsubscribe-Link zur Abmeldung inkl. Datenlöschung.
Müssen dennoch alle Kunden bzgl. Ihrer Zustimmung noch einmal abgefragt werden? Genügt es, im nächsten Newsletter dezidiert auf die Löschfunktion hinzuweisen?
Vielen Dank für das Muster der Datenschutzerklärung.
Gruß A. Kaminsky
Sehr geehrter Herr Kaminsky,
ganz allgemein: wenn die Adressaten bereits eingewilligt haben (per web-Formular oder über ein schriftliches Formular), genügt diese Einwilligung theoretisch. Allerdings gibt es verschiedene Meinungen darüber, ob diese Einwilligung auch künftig noch ausreicht (Stichwort: „informierte“ Einwilligung). Der NL-Adressat muss wissen, welche Art von Inhalt er wie oft erhält und v. a. dass seine Einwilligung jederzeit widerruflich ist. Wenn die vorhandenen Einwilligungen letztere Voraussetzungen bereits erfüllen benötigt man meiner Meinung nach keine erneute Einwilligung. Wenn man sich dagegen nicht ganz sicher ist, sollte man noch einmal eine informierte Einwilligung einholen. Zu empfehlen: eine Checkbox und eine kurze (2-3 Zeilen) Erläuterung der oben genannten Punkte. BG M. Greger
Hallo Herr Greger,
die DSGVO gilt auch für den Staat und die öffentlichen Stellen.
a) Zählen hierzu auch die Gerichte?
b) Inwieweit muß die DSGVO eingehalten werden, wenn Gerichtsakten an Privatpersonen (z.B. zwecks Gutachtenerstellung im gerichtlichen Auftrag) herausgegeben werden?
Für die Muster-Datenschutzerklärung gebührt Ihnen ein besonderes Lob. Danke.
Sehr geehrter Herr Greger,
vielen Dank, für die doch sehr verständliche Datenschutzerlärung. Ich bin bei meiner Webseite mit dem Google Routenplaner verlinkt. jetzt hat man mir mehrfach gesagt ich sollte das aufgrund der DSGVO besser löschen oder gibt es einen Passus für die Datenschutzerklärung?
M.f.G. Ina
Hallo Ina,
mein Muster enthält keinen Passus für den Google Routenplaner (meinen sie Maps?). Wenn Ihre Seite diesen Dienst nutzt, werden Sie die DSE wohl anpassen müssen.
Beste Grüße,
M. Greger
Guten Tag Herr Greger,
ich möchte gerne meine eigene Seite online stellen. Nun stellt sich mir die Frage, inwiefern das sinnvoll und notwendig ist die gesamte Datenschutzerklärung zu übernehmen. Meine einzigen Links zu anderen Seiten wären zum einen Seiten zu einer Software, welche ich mit erstellt habe, Social Media Links (Xing, LinkedIn & Instagram) sowie Links zu Blogs, die ich interessant finde.
Ich selbst werde keine Daten erheben, weder Google Analytics, keinen Newsletter, auch kein Kontaktformular noch werde ich Cookies verwenden. Es handelt sich hier um mein Portfolio mit Lebenslauf, Arbeiten etc. Es wird lediglich eine E-Mail Adresse angegeben werden.
Viele Grüße,
Janina B.
Hallo Frau Brosien,
meine DSE kann man sicher im Einzelfall noch „abspecken“ – es ist nur ein Beispiel, kein Muster, das man in jedem Fall 1:1 übernehmen kann.
Mit besten Grüßen
M. Greger
Lieber Herr Greger,
vielen Dank für diese wirklich sehr hilfreichen Tipps.
Leider funktioniert Ihr Javascript bzw. der Link, welcher Google Analytics deaktivieren soll, nicht.
Wir haben beide Codes auf der Datenschutz Seite hinterlegt und anschließend den Link-Code als Link eingebaut. Der Link hat zwar die Farbe eines Links, ist aber nicht klickbar.
Haben Sie hier vielleicht einen Tipp, woran das liegen kann?
Vielen Dank und herzliche Grüße
Lisa
Hier nochmal der Teil, auf welchen ich mich beziehe (erwähnt in Ihrer Muster-Vorlage unter Punkt Nummer 4):
Hinweis für den Verantwortlichen (gehört nicht in die Datenschutzerklärung!):
Das von Google angebotene Browser-Plugin zum Deaktivieren des Cookies funktioniert nicht auf mobilen
Endgeräten. Aber auch dort muss der Betroffene die Möglichkeit haben, die Erfassung seiner IP-Adresse zu
verhindern. Daher muss ein spezielles Javascript eingebunden werden mit folgendem Code (wobei die „xxxxxxx“
für die Analytics ID stehen):
var gaProperty = ‚UA-xxxxxxx-1‘;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) { window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true; }
Der Link wird dann in der Datenschutzerklärung an der gelb markierten Stelle wie folgt eingebunden (wobei der
Link-Text zwischen den „>“ und „<“ frei wählbar ist:
Google Analytics deaktivieren
Die anonymizeIP-Funktion wird um die Zeile
ga(’set‘, ‚anonymizeIp‘, true);
ergänzt, etwa wie folgt:
(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);
ga(‚create‘, ‚UA-XXXXXXXX-X‘, ‚auto‘);
ga(‚require‘, ‚displayfeatures‘);
ga(‚require‘, ‚linkid‘, ‚linkid.js‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚page
Hallo Lisa,
es ist schwierig für mich, zu sehen, ob bzw. weshalb ein Javascript bei Ihnen nicht funktioniert. Sehen Sie sich am besten zunächst in Ihrem Browser an, welche Cookies Ihre Seite speichert und schauen Sie, ob Ihre Seite ein Cookie namens „ga-disable-…“ setzt (das ist das optOut-Cookie). Ist es vorhanden, funktioniert das Skript.
Zusätzlich können Sie noch ein Hinweis-Popup einbinden, das dem Nutzer eine Meldung gibt, wenn das Skript erfolgreich ausgeführt wurde, nämlich wie folgt:
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
alert('Google Analytics wurde deaktiviert!')
}
Beste Grüße
M. Greger
Noch eine kurze Berichtigung bezüglich meines vorherigen Kommentars: Der Link ist klickbar, aber es passiert einfach nichts, wenn man darauf klickt.
Hallo Herr Greger,
in einem anderen empfohlenen Datenschutz-Generator gibt es speziell einen Passus zur Datenverarbeitung von Klienten, Interesenten und Auftraggebern etc. zwecks Vertragserfüllung bei verschiedenen Dienstleistungen. In meinem Fall z.B. für therapeutische Leistungen und Coaching. Auch für meinen Mann, der als freiberuflicher Bau-Ingenieur (www.hgingenieure.de) tätig ist, ist diese Frage wichtig.
Brauchen wir da einen speziellen Passus? Gern würden wir Ihr Muster nutzen, sind uns aber unsicher, ob da dann etwas Wichtiges fehlt. Ich freue mich auf Antwort, beste Grüße, Babette und Helmuth Gläßer
Hallo Frau Gläßer,
in Ziffer 3.4 wird die Datenverarbeitung zur Erfüllung von Verträgen behandelt. Ziff. 3.8 thematisiert die Kontaktaufnahme zur Anbahnung von Verträgen. Für einfache Vertragsabschlüsse über die Website sollte das genügen. Wie es in Ihrem Einzelfall ist, darf ich hier aber nicht thematisieren, das wäre Rechtsberatung, die natürlich nicht umsonst ist.
Mit besten Grüßen
M. Greger
Sehr geehrter Herr Greger,
ich gestehe, dass ich die DSGVO vollständig verschlafen habe. Erst mit einem entsprechenden Medienbericht bei Inkrafttreten Ende Mai wurde mir bewusst, dass ich für meine Homepage tätig werden muss.
Als ich heute Ihre Muster-Datenschutzerklärung im Internet gefunden habe, machte ich erstmal einen Luftsprung vor Freude. Aber ich bin mir nicht sicher, ob ich auch damit arbeiten kann, vor allem ob ich die Verweise auf die entsprechenden Artikel der DSGVO 1:1 übernehmen kann. Ich habe im Internet recherchiert und versucht festzustellen, ob es Unterschiede zwischen Deutschland und Österreich gilt. Und je länger ich gesucht habe, desto verunsicherter wurde ich.
Ich bin Österreicherin mit Hauptwohnsitz in München und vermiete 2 Ferienwohnungen in Österreich. Dafür habe ich eine österreichische Umsatzsteuer-ID, bei der allerdings meine deutsche Adresse angegeben ist, da Hauptwohnsitz. Meine Rechnungen und Mietverträge stelle ich mit der deutschen Adresse aus, damit sie zur Anschrift der UID-Nummer kompatibel sind. Die Website betreibe ich über 1&1 in Deutschland, allerdings mit meiner österreichischen Adresse. In der Homepage ist auch die Adresse in Österreich angegeben.
Ich fühle mich im Moment wie ein Zwitter und weiß nicht, ob ich mich an deutsches oder österreichisches Recht halten muss – oder ist das egal, da EU-Verordnung?
Ich weiß nur, dass ich dringend etwas tun muss und wäre Ihnen für einen Lösungsvorschlag sehr dankbar.
Mit freundlichen Grüßen
Christine Sommer
Hallo Frau Sommer,
die DSGVO gilt in ganz Europa gleichermaßen – die (ergänzenden) nationalen Gesetze können sich aber voneinander unterscheiden (in Deutschland gilt z. B. das BDSG).
Ihre konkrete Frage darf ich leider hier nicht beantworten – das wäre Rechtsberatung, die ich nicht kostenlos und nicht auf dieser Website durchführe. Hierzu können Sie mich aber gerne unter meiner Mail-Adresse kontaktieren.
Mit freundlichen Grüßen
M. Greger
Sehr geehrter Herr Greger,
meine Frage: Ist es rechtlich korrekt, die Datenschutzangaben auf der selben Seite wie das Impressum zu veröffentlichen? Ich würde den von jeder Seite aus direkt erreichbaren Link „Datenschutz + Impressum“ (oder umgekehrt) nennen.
Vielen Dank im Voraus und freundliche Grüße
Andrea L.
Hallo!
Ohne Mandat darf ich Ihnen zwar keinen konkreten Rechtsrat für Ihre spezielle Situation erteilen. Ich halte aber „Impressum + Datenschutzhinweise“ (oder ähnlich) grundsätzlich für vertretbar (auch wenn es nicht üblich ist). Mir ist jedenfalls keine entgegenstehende Entscheidung bekannt. Falsch wäre es, lediglich die Seite „Impressum“ mit einer darin versteckten Datenschutzerklärung bereitzuhalten, weil Letztere dann nicht mehr ohne weiteres auffindbar wäre.
Beste Grüße
M. Greger
Hallo Herr Greger
Kann ich bei ihrer Datenschutzerklärung … erst einmal riesigen Dank für die kostenlose Bereitstellung … unter Datenschutzbeauftragter ganz unten ihren Namen angeben ???
Oder sollte ich die Emailadresse der webseite verwenden.
Vielen Dank schonmal im Voraus
Hallo,
Sie können gerne meinen Namen angeben, gerne auch die E-Mail-Adresse.
Mit besten Grüßen
M. Greger
Hallo Herr Dr. Greger,
angesichts des Aufwands, mit dem Datenschutz für einfache Besucher einer Website oder Bezieher eines eMail-Newsletters betrieben werden muss, frage ich Sie, auf welcher rechtlichen Basis zum Beispiel Wirtschaftsauskunfteien wesentlich kritischere persönliche Daten speichern und bei Anfragen ihrer Kunden sicherlich auch weitergeben.
Mich und auch meine Freunde und Bekannte hat kein einziges dieser Unternehmen angeschrieben und um Erlaubnis gebeten, unsere Daten zu speichern oder gar weitergeben zu dürfen. Ganz im Gegensatz zu den Versendern harmloser Newsletter.
Vielen Dank.
Freundliche Grüße
Rolf
Guten Tag!
Selbstverständlich müssen Wirtschaftsauskunfteien die Datenschutz-Grundverordnung beachten. Es ist aber zu unterscheiden:
Wenn die Auskunftei Bonitätsanfragen lediglich anhand von anonymen Daten (Wohnort, Straße, Alter etc.) berechnet, ohne, dass auf die konkrete Person Rückschlüsse gezogen werden können, fällt dieser Vorgang mangels einer Verarbeitung personenbezogener Daten nicht unter die Datenschutz-Grundverordnung.
Speichert die Auskunftei hingegen personenbezogene Daten (beispielsweise zum Zahlungsverhalten einer Person) hat sie die Datenschutz-Grundverordnung zu beachten. Die Verarbeitung zum Zweck der Auskunft an künftige Vertragspartner wird von den Landesdatenschutzbeauftragten als gem. Art. 6 I 1 f) DSGVO zulässig erachtet. Als Betroffener haben Sie aber alle Rechte (Auskunft, Berichtigung, Löschung etc.). Über diese Rechte müssen Sie selbstverständlich auch mittels Datenschutzhinweisen informiert werden (Art. 12 ff. DSGVO) – entweder durch die Auskunftei, oder durch denjenigen, der Ihre personenbezogenen Daten an die Auskunftei übermittelt.
Ich hoffe, Ihnen dadurch geholfen zu haben.
Beste Grüße
Max Greger